国内首部关于黑客免杀技术的专著，旨在为反病毒工程师剖析各种恶意软件和应对各种安全威胁提供全面指导。不仅从攻击者（黑客）的视角全方位揭示了黑客免杀技术的常用方法、常用技术和思想原理，还从防御者（反病毒工程师）的视角深入讲解了遏制免杀技术的具体方法策略。

　　任晓珲，资深安全技术工程师，华章“信息安全技术丛书”专家顾问，致力于免杀技术和反病毒技术的实践。对软件安全、逆向工程、Rootkit、加壳与脱壳等技术有较深入的研究和理解，积累了丰富的经验。

前言
为什么要写这本书
如何阅读本书
本书的主要内容
这正是那酝酿三年的2.0版
本书的读者
勘误和支持
特别致谢
基础篇 初级免杀技术
第1章 变脸
1.1 为何变脸
1.2 何为变脸
1.3 免杀的发展史
1.4 免杀技术的简单原理
1.5 免杀与其他技术的区别
1.6 小结
第2章 免杀基础知识
2.1 如何开始免杀
2.2 反病毒软件原理与反病毒技术介绍
2.3 了解PE文件
2.4 免杀原理
2.5 工具脱壳技巧
2.6 小结
第3章 免杀与特征码
3.1 特征码免杀技术
3.2 特征码定位原理
3.3 脚本木马定位特征码
3.4 MyCCL查找文件特征码
3.5 MyCCL查找内存特征码
3.6 特征码修改方法
3.7 小结
第4章 其他免杀技术
4.1 修改入口点免杀
4.2 使用VMProtect加密
4.3 Overlay附加数据的处理及应用
4.4 驱动程序免杀修改技巧
4.5 补丁在免杀中的应用
4.6 PE文件进阶介绍
4.7 网页木马的免杀
4.8 小结
第5章 花指令与免杀
5.1 什么是花指令
5.2 脚本木马的花指令应用
5.3 花指令的根基—汇编语言
5.4 花指令入门
5.5 花指令在免杀领域的应用
5.6 花指令的高级应用
5.7 小结
第6章 壳在免杀中的应用
6.1 壳的基础知识
6.2 壳在免杀领域的应用
6.3 壳的修改技巧
6.4 小结
高级篇 免杀技术进阶
第7章 PE文件格式详解
7.1 MS-DOS头
7.2 PE文件头
7.3 区段表
7.4 导出表
7.5 导入表
7.6 资源
7.7 异常
7.8 安全
7.9 基址重定位
7.10 调试
7.11 特殊结构数据（版权）
7.12 全局指针
7.13 TLS
7.14 载入配置（x86/x64）
7.15 绑定导入表
7.16 导入地址表
7.17 延迟加载表
7.18 COM描述符
7.19 小结
第8章 PE文件知识在免杀中的应用
8.1 PE文件与免杀思路
8.2 PE文件与反启发式扫描
8.3 一个稍显复杂的例子—隐藏导入表
8.4 小结
第9章 软件逆向工程
9.1 准备工作
9.2 一个简单的小例子
9.3 函数识别初探
9.4 if-else分支
9.5 循环分支
9.6 switch-case分支
9.7 加法与减法的识别与优化原理
9.8 乘法与除法的识别与优化原理
9.9 指针与数组
9.10 数组、结构体与对象
9.11 变量作用域的识别
9.12 识别构造与析构函数
9.13 虚函数与纯虚函数的识别
9.14 正确识别类的继承关系
9.15 最后一役
9.16 小结
第10章 源码级免杀
10.1 怎样定位产生特征的源代码
10.2 基于源码的特征修改
10.3 小结
第11章 详解C++壳的编写
11.1 了解壳的运行流程
11.2 设计一个纯C++编写的壳
11.3 用C++写一个简单的壳
11.4 设计一个由C++编写的专业壳
11.5 怎样调试由C++编写的Stub部分
11.6 小结
第12章 黑客是怎样打造免杀壳的
12.1 免杀壳与加密壳的异同
12.2 导入表加密
12.3 代码混淆与代码乱序
12.4 附加驱动
12.5 小结
第13章 脱壳技术
13.1 寻找OEP
13.2 转储内存映像
13.3 重建导入表
13.4 小结
第14章 Rootkit基础
14.1 构建一个Rootkit基础环境
14.2 何为Ring0层
14.3 关键表
14.4 内存分页
14.5 内存描述符表
14.6 中断描述符表（IDT）
14.7 系统服务调度表
14.8 控制寄存器
14.9 小结
第15章 Rootkit在免杀中的应用
15.1 用户模式Rootkit
15.2 内核编程基础
15.3 内核模式Rootkit
15.4 小结
第16章 免杀技术前沿
16.1 免杀技术的发展趋势
16.2 免杀前沿之突破主动防御
16.3 黑客免杀技术的展望
16.4 小结
扩展篇 遏制免杀技术初探
第17章 浅谈部分免杀技巧的遏制
17.1 盯紧PE文件
17.2 盯紧程序行为
17.3 小结
第18章 反特征码定位
18.1 释放干扰码
18.2 定位行为的判定
18.3 设定“靶特征码”
18.4 小结
第19章 遏制免杀与Anti Rootkit
19.1 适当的监控
19.2 基本检测逻辑
19.3 Rootkit检测方法初探
19.4 小结
第20章 浅谈反病毒产品的改进
20.1 云查杀与本地查杀紧密结合
20.2 注重感染型病毒木马的清除工作
20.3 精进启发式扫描解决效率问题
20.4 小结
附录A 80x86汇编基础知识
A.1 寄存器
A.1.1 什么是寄存器
A.1.2 寄存器用来做什么
A.1.3 汇编语言中都有哪些寄存器
A.1.4 这些寄存器都是做什么用的
A.2 寻址模式
A.3 数据传输指令
A.4 算术运算与逻辑运算指令
A.5 串操作指令
A.5.1 movs串传送指令
A.5.2 stos存入串指令
A.5.3 lods取出串指令
A.5.4 cmps串比较指令
A.5.5 rep重复操作前缀
A.6 控制转移指令
A.6.1 jmp无条件转移指令
A.6.2 jcc有条件转移指令
A.6.3 loop循环指令
A.6.4 call函数调用指令
A.6.5 ret返回指令
A.7 处理器控制指令
A.7.1 clc进位置0指令
A.7.2 cmc进位求反指令
A.7.3 stc进位置1指令
A.7.4 nop无操作指令
A.7.5 hlt停机指令

　　计算机安全领域最初且规模最大的博弈莫过于病毒与反病毒的博弈，这也是计算机安全领域的硝烟燃起之处。然而，我们当中的有些人可能并不知晓黑客免杀技术现今已经成为反病毒领域中的主要破坏力量，而究其原因，也许是由此技术带来的大规模病毒木马泛滥与黑客免杀技术本身的隐蔽性所导致的。
　　但是很幸运，您手中的这本书就是迄今为止第一本详细介绍免杀技术的图书，您和我都应为此而感到庆幸。
　　2008年2月，我应邀与《黑客X档案》杂志的主编一起策划了《黑客免杀入门》的编写工作。《黑客免杀入门》就是本书的雏形，那真的是一个很好的开始。当时还在上大一的我为了使这本书能够快速上市，几乎牺牲了所有课余时间。在经过半年的艰苦写作之后，《黑客免杀入门》终于在2008年10月正式上市，并在半年内创下了5000册销量的佳绩。
　　但是由于种种原因，使得我对自己的第一本书并不满意，因为要考虑到初学者的接受力与知识储备，因此并未将黑客免杀技术的真正意义体现在那本书里，再加之免杀技术在第一本书发行后的几年里发生了很大变化，因此使我有了编写第二本书的动力。

　　由尼古拉斯·凯奇主演的电影《变脸》想必大家并不陌生。通过整形手术，尼古拉斯·凯奇扮演的警探变身为歹徒，打入匪徒内部，而那名被假冒的歹徒也使用同样的手段混入了警署，扰乱了这名不幸警探的生活。就这样，原本十恶不赦的歹徒披着警探的“外衣”肆意满足着自己的窥探欲，并取得了重要的信息。
　　1.1　为何变脸
　　我们都不会承认自己是窥探狂，但是我想绝大部分人都不会否认自己偶尔会有窥探他人的想法，虽然在现实生活中并不容易做到。然而，在计算机领域中实施同样的行为则显然会容易许多。
　　比如，众人皆知的后门与木马就是为了窥探并获取他人计算机中的信息而诞生的。但是，病毒与木马永远无法得到受害者的喜爱与杀毒软件的怜悯，在大多数情况下，它们会被无情地斩杀！当然我相信本书的读者也都希望如此。
　　不过这可不是攻击者所希望看到的结果，他们希望自己的木马能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。
　　然而事实上并没有多少木马或后门能达到这个目的，例如各位读者都熟悉的灰鸽子木马，很显然它现在可以被任何杀毒软件发现并查杀，不过我们是否从此以后就不用再担心灰鸽子木马了呢？对于这个问题，攻击者们用他们制造的成百上千个灰鸽子木马变种给出了清晰的答复。
　　很显然，我们的威胁依然存在！
　　只要免杀技术在世界上存在一天，那么后门木马就不会消亡；免杀技术一日不消亡，木马病毒的变种就会源源不断地出现。
　　不知各位读者想过没有，攻击者们是怎样制造出那么多的变种的呢？他们使用的是什么技术？有没有什么应对方案？
　　这就要求我们以攻击者的角度来进行研究，这样才能更好地探求到答案。本章就以攻击者的视角开篇，为这3个问题找到满意的答案。