安全补全计划 - 恶意软件篇

本篇章专注于恶意软件分析与开发，从基础的二进制结构到高级的对抗技术。

📚 知识点列表

基础知识

1. 汇编与编译器
   • 学习x86/x64汇编语言，理解代码如何被编译和执行。
2. PE结构
   • 深入理解Windows可执行文件（PE）的格式，包括节、导入/导出表、重定位等。
3. ELF结构
   • 学习Linux可执行文件（ELF）的格式。
   • ELFLoader
4. 进程
   • 理解操作系统的进程模型和内存管理。
5. WoW64
   • 了解32位程序在64位Windows上的运行机制。

核心技术

1. Shellcode
   • 学习编写和使用Shellcode。
2. 注入技术
   • 掌握各种进程注入技术，如DLL注入、APC注入等。
3. PE Loader
   • 学习如何手动加载一个PE文件到内存中执行。
4. Hooking
   • 掌握API Hooking技术，包括Inline Hook、IAT Hook等。
5. 提权
   • 学习权限提升技术。
6. UAC Bypass
   • 研究Windows用户账户控制（UAC）的绕过方法。
7. 横向移动
   • 学习在内网中进行横向渗透的技术。

对抗与免杀

1. 对抗技术
   • 学习反调试、反虚拟机等对抗安全分析的技术。
   • 一个免杀的框架，它的思想和工作流应该是武器化应有的样子
   • 对NTFS transactions的研究
2. 混淆
   • 研究代码混淆和加密技术。
3. Windows 内核模式下恶意软件
   • 了解驱动开发和内核级恶意软件。
4. Linux RootKit
   • 学习编写和检测Linux RootKit。
   • linux rootkit 入门

Golang与红队开发

1. Golang与红队开发
   • 探讨使用Golang进行红队工具开发的优势和技巧。
   • go-strip:
     • go-strip v3.0源码
     • go-strip 更新啦 v2.0 成品+源码
     • go-strip 1.0的源码
   • 基于Golang的免杀总结
   • Golang红队开发指南
   • garble原理研究