一個bug引起慘案！成功追回損失後，拼多多還應作什麼？

1月20日凌晨，互聯網銷售平臺拼多多遭遇了「優惠券Bug」：網站每一位註冊用戶能夠經過微信渠道、網頁端、QQ渠道等，領取面值爲100元的優惠券，該優惠券適用該網站的商品，有效期爲一年。隨後，有網友曝出，用領取的優惠券能夠充值話費、Q幣。上午9點，網友發現拼多多已將相關優惠券所有下架，直至10點左右，該漏洞才被拼多多官方修復。併網傳拼多多一晚上損失近200億元，一時引發普遍關注。而拼多多的這一「優惠券Bug」，更多的仍是網站安全隱患問題，拼多多成功追回損失後，更重要的事情是代碼的安全要重視起來。

近年來，全球大規模爆發勒索病毒和挖礦病毒，讓沉寂許久的黑客技術，又從新回到了人們的視野中。Windows操做系統市場佔有率高達90%以上，因此面對勒索病毒、挖礦病毒，Windows用戶首當其衝。 今天介紹一本信息安全類的圖書。

爲了揭開病毒木馬的神祕面紗，更好地服務於信息安全，《Windows黑客編程技術詳解》總結並剖析了常見的Windows黑客編程技術，用通俗易懂的語言介紹了用戶層下的Windows編程和內核層下的Rootkit編程。這本書理論技術與實戰操做相輔相成，凸顯「道與術」；庖丁解牛式剖析Windows用戶層和內核層黑客技術原理 ；代碼兼容性高，支持Windows 7到Windows 10全平臺系統。

《Windows黑客編程技術詳解》

做者：甘迪文

掃描二維碼，一鍵購買

做者自述

信息安全行業是一個朝陽行業，國家、企業以及高校都予以高度重視。其中，Windows系統的市場佔有率高達90%以上，所以Windows系統上的安全需求更多，安全攻防更激烈。

我從本科開始就對黑客技術感興趣，經過自學，積累了許多這方面的開發技術，並逐漸有了本身的心得和感悟。到了研究生階段，以前積累的知識幫助我快速而高效地完成了項目的安全開發工做，可是卻發現周圍仍有不少安全相關專業的同窗仍陷於開發難的苦惱中，因而便萌生了寫做本書的想法，但願經過分享本身積累的心得體會，讓更多的初學者能少走些彎路。

古人云「知其然，知其因此然」。做爲一個初學者，首先要作到的是「知其然」，即學會怎麼去作；而後再去理解這樣作的原因，即「知其因此然」。本書着重於「知其然」階段，編寫一本可以讓初學者看懂的技術科普書。

因此，本書在詳細介紹每一種黑客技術時，均是按照下述7個模塊進行寫做的。

1.背景：介紹技術的應用場景。

2.函數介紹：給出技術實現所需的前提知識。

3.實現原理（過程）：講解技術實現的原理。

4.編碼實現：給出技術實現的部分關鍵代碼。

5.測試：對程序進行測試，給出測試方法和測試結果。

6.小結：對該技術點進行總結，指出難易點和注意事項。

7.安全小貼士：針對一些有攻擊性的技術，給出檢測或防護方法。

本書所包含的知識點按部就班，語言平實，每一個技術點條理清晰，主要有3個突出的特色。

1.技術點講解詳細。由於我是一邊編著本書，一邊重寫程序，因此，可以在書中把實現步驟和注意事項一一指明。

2.知識點兼容性高。本書的技術以及對應的示例代碼 （包括內核層下的Rootkit技術代碼），均支持32位和64位的Windows 七、Windows 8.1和Windows 10操做系統。

3.注重實戰。本書所介紹的技術知識都貼近實戰技術，可讓讀者直接感覺到實戰的魅力。

因爲本書是基於每個技術點去撰寫的，章節獨立性較高。因此，讀者能夠按順序閱讀，也能夠選擇本身感興趣的章節跳讀。對於每一章的閱讀，建議依次按照背景、函數介紹、實現原理、編碼實現、測試和總結的順序進行閱讀，這樣才能更好地提升本身的安全開發水平。

本書組織結構

本書分爲「用戶篇」（第1~11章）與「內核篇」（第12~18章）兩篇，總計18章。爲了幫助讀者更好地瞭解本書所講的內容，下面列出了每章所講的主要內容。

第1章，開發環境，主要介紹VS 2013開發環境的安裝、工程項目的設置，以及關於Debug模式和Release模式的相關注意事項。

•第2章，基礎技術，介紹了運行單一實例、DLL延遲加載和資源釋放等內容。

•第3章，注入技術，介紹了全局鉤子注入、遠線程注入、突破SESSON 0隔離的遠線程注入、APC注入等內容。

•第4章，啓動技術，介紹了建立進程API、突破SESSON 0隔離建立用戶進程、內存直接加載運行等知識。

•第5章，自啓動技術，涵蓋了註冊表、快速啓動目錄、計劃任務和系統服務等內容。

•第6章，提權技術，包含進程訪問令牌權限提高、Bypass UAC等內容。

•第7章，隱藏技術，講解了進程假裝、傀儡進程、進程隱藏、DLL劫持等知識。

•第8章，壓縮技術，介紹了數據壓縮API、ZLIB壓縮庫等知識。

•第9章，加密技術，介紹了Windows自帶的加密庫、Crypto++密碼庫等知識。

•第10章，傳輸技術，介紹了Socket通訊、FTP通訊、HTTP通訊、HTTPS通訊等知識。

•第11章，功能技術，講解了進程遍歷、文件遍歷、桌面截屏、按鍵記錄、遠程CMD、U盤監控、文件監控、自刪除等知識。

•第12章，開發環境，介紹了內容開發環境的配置、驅動程序開發與測試、驅動無源碼調試、32位和64位驅動開發等知識。

•第13章，文件管理技術，介紹了文件管理中用到的內核API、IRP、NTFS解析等知識。

•第14章，註冊表管理技術，講解了註冊表管理中用到的API、HIVE文件解析等知識。

•第15章，HOOK技術，介紹了SSDT HOOK、過濾驅動等知識。

•第16章，監控技術，講解了進程建立監控、模塊加載監控、註冊表監控、對象監控、Minifilter文件監控、WFP網絡監控等內容。

•第17章，反監控技術，與第16章相反，它介紹了反進程建立監控、反線程建立監控、反模塊加載監控、反註冊表監控、反對象監控、反Minifilter文件監控等內容。

•第18章，功能技術，介紹了過PatchGuard的驅動隱藏、過PatchGuard的進程隱藏、TDI網絡通訊、強制結束進程、文件保護、文件強刪等知識。

· 附錄，函數一覽表，介紹了本書使用的函數以及相應的做用。

因爲本書中的代碼均使用C/C++來編寫，所以掌握C/C++語言的概念能夠更容易理解本書。若是不具有編程知識，也可繼續學習並理解全部技術點的開發流程。對於書中的內核層開發部分，即便讀者沒有接觸過內核開發，也可根據本書的內容一步步學習內核開發技術。

最後須要提醒你們的是：

根據國家有關法律規定，任何利用黑客技術攻擊他人計算機的行爲都屬於違法行爲。但願讀者在閱讀本書後必定不要使用本書介紹的技術對他人的計算機進行攻擊，不然後果自負。

名家評論

本書詳解了注入、啓動、權限、HOOK、監控等技術，從技術知識體系上對其細節（如實現原理、編碼實戰、案例測試等）進行了剖析，下降了學習難度，所以很是適合Windows安全、二進制安全、逆向工程等相關領域的愛好者、從業者羣體閱讀。你們能夠經過本書對本身的Windows安全知識體系進行補充與鞏固。值得閱讀！

—— 孔韜循（K0r4dji），丁牛科技有限公司首席安全官，破曉安全團隊創始人

"黑客"當今已經再也不是神祕的代言詞，而是攻防技術的象徵——如何利用簡短的代碼實現意想不到的結果，各種病毒木馬是如何利用Windows的相關API技術實現傳播、隱藏、啓動、複製等操做——黑客已經把Windows的機制運用得淋漓盡致，這本《Windows黑客編程技術詳解》帶領讀者從用戶態到內核態一步一步地瞭解黑客如何巧妙地利用各種Windows的機制達成本身的目的，以及從攻與防出發的角度瞭解黑客是怎樣的一個「神祕羣體」！值得推薦！

——朱利軍，四葉草信息技術有限公司首席安全官

闡述Windows下黑客編程經常使用技術的書籍有不少，但或涉獵不全，或代碼健壯性及兼容性較差，而能將以上技術按照難易梯度依次聚集在一本書內，而且全部示例代碼均是多系統全平臺兼容的，我我的知道的僅此一本。本書內部穿插的那些做者苦心而做的若干精巧例子值得咱們每一個人細細品味，同時這本書對於軟件安全領域的工做人員也不失爲一本案頭必備的代碼、案例參考工具書。

——任曉琿，十五派信息安全教育創始人，《黑客免殺攻防》做者

在當前網絡安全逐漸娛樂化的時代，本書就像一股清流，讓我想起10餘年前和小夥伴們一塊兒徹夜研究各類植入、逃逸技術的一幕幕。本書教會你製做網絡空間的利刃的方法，對於技術流的小夥伴們是一門必修的功課，不過切記要把它用在正道。

——王珩，賽寧網安副總經理，信息安全漏洞門戶（vulhub.org.cn）創始人

目錄一覽

第1篇　用戶篇

第1章 開發環境 3

1.1 環境安裝 3

1.2 工程項目設置 5

1.3 關於Debug模式和Release模式的小提示 7

第2章 基礎技術 10

2.1 運行單一實例 10

2.2 DLL延遲加載 13

2.3 資源釋放 15

第3章 注入技術 22

3.1 全局鉤子注入 22

3.2 遠線程注入 27

3.3 突破SESSION 0隔離的遠線程注入 34

3.4 APC注入 37

第4章 啓動技術 42

4.1 建立進程API 42

4.2 突破SESSION 0隔離建立用戶進程 48

4.3 內存直接加載運行 55

第5章 自啓動技術 60

5.1 註冊表 60

5.2 快速啓動目錄 66

5.3 計劃任務 69

5.4 系統服務 75

第6章 提權技術 84

6.1 進程訪問令牌權限提高 84

6.2 Bypass UAC 89

第7章 隱藏技術 97

7.1 進程假裝 97

7.2 傀儡進程 102

7.3 進程隱藏 106

7.4 DLL劫持 112

第8章 壓縮技術 119

8.1 數據壓縮API 119

8.2 ZLIB壓縮庫 126

第9章 加密技術 133

9.1 Windows自帶的加密庫 133

9.2 Crypto++密碼庫 152

第10章 傳輸技術 168

10.1 Socket通訊 168

10.2 FTP通訊 181

10.3 HTTP通訊 190

10.4 HTTPS通訊 202

第11章 功能技術 210

11.1 進程遍歷 210

11.2 文件遍歷 214

11.3 桌面截屏 219

11.4 按鍵記錄 226

11.5 遠程CMD 232

11.6 U盤監控 235

11.7 文件監控 241

11.8 自刪除 245

第2篇　內核篇

第12章 開發環境 253

12.1 環境安裝 253

12.2 驅動程序的開發與調試 254

12.3 驅動無源碼調試 264

12.4 32位和64位驅動開發 268

第13章 文件管理技術 270

13.1 文件管理以內核API 270

13.2 文件管理之IRP 293

13.3 文件管理之NTFS解析 303

第14章 註冊表管理技術 317

14.1 註冊表管理以內核API 317

14.2 註冊表管理之HIVE文件解析 329

第15章 HOOK技術 337

15.1 SSDT HOOK 337

15.2 過濾驅動 351

第16章 監控技術 357

16.1 進程建立監控 357

16.2 模塊加載監控 363

16.3 註冊表監控 369

16.4 對象監控 374

16.5 Minifilter文件監控 379

16.6 WFP網絡監控 385

第17章 反監控技術 392

17.1 反進程建立監控 392

17.2 反線程建立監控 397

17.3 反模塊加載監控 403

17.4 反註冊表監控 407

17.5 反對象監控 411

17.6 反Minifilter文件監控 415

第18章 功能技術 421

18.1 過PatchGuard的驅動隱藏 421

18.2 過PatchGuard的進程隱藏 426

18.3 TDI網絡通訊 429

18.4 強制結束進程 437

18.5 文件保護 442

18.6 文件強刪 444

附錄 函數一覽表 447

《Windows黑客編程技術詳解》

做者：甘迪文

掃描二維碼，一鍵購買

《Windows黑客編程技術詳解》介紹的是黑客編程的基礎技術，涉及用戶層下的Windows編程和內核層下的Rootkit編程。本書分爲用戶篇和內核篇兩部分，用戶篇包括11章，配套49個示例程序源碼；內核篇包括7章，配套28個示例程序源碼。本書介紹的每一個技術都有詳細的實現原理，以及對應的示例代碼（配套代碼均支持32位和64位Windows 七、Windows 8.1及Windows 10系統），旨在幫助初學者創建起黑客編程技術的基礎。

本書面向對計算機系統安全開發感興趣，或者但願提高安全開發水平的讀者，以及從事惡意代碼分析研究的安全人員。

更多安全書單

《Wireshark數據包分析實戰（第3版）》

做者：[美]克里斯 ▪ 桑德斯（Chris Sanders）

掃描二維碼，一鍵購買

Wireshark是最流行的一款網絡嗅探軟件，本書在上一版的基礎上針對Wireshark 2.0.5和IPv6進行了更新，並經過大量真實的案例對Wireshark的使用進行了詳細講解，旨在幫助讀者理解Wireshark捕獲的PCAP格式的數據包，以便對網絡中的問題進行排錯。

《Wireshark網絡分析實戰（第2版）》

做者：[印度]甘德拉·庫馬爾·納納

掃描二維碼，一鍵購買

Wireshark大百科全書；鉅細靡遺地講解Wireshark操做細節；掌握Wireshark基本操做的惟一入門級圖書；排除網絡故障；性能調優的好幫手 每一位IT運維人員的必備利器。

本書包含了用Wireshark 2排除數通網絡故障的實用祕訣。相較於以前的版本，Wireshark 2又增長了不少強大功能，得到了業界更普遍的關注。

本書擴充了上一版的主題，涵蓋如何使用Wireshark監控TCP性能、網絡安全、無線LAN以及雲和虛擬系統，介紹了在單播/多播網絡環境中如何藉助Wireshark分析端到端的IPv4/IPv6連通性故障。讀者將瞭解E-mail協議的正常運行機制，學會如何使用Wireshark來完成基本的故障分析和排除工做。利用Wireshark這款利器，讀者能夠解決企業網絡中經常使用應用程序的故障。讀者還將學習如何測量網絡參數，如何檢查並修復因網絡參數引發的性能問題。