Maldevacademy

目录

• 1-欢迎来到MalDev学院
• 10-检测机制
• 11-Windows 进程
• 12-未记录的结构
• 13-有效载荷放置 - .data 和 .rdata 部分
• 14-有效负载布局 -.text 段
• 15-有效负载放置 - .rsrc 节段
• 16-有效负载加密简介
• 17-有效负载加密 - 异或
• 18-有效负载加密 - RC4
• 19-有效内容加密 - AES 加密
• 2-课程简介
• 20-规避 Microsoft Defender 静态分析
• 21-有效载荷混淆 - IPv4 - IPv6 混淆
• 22-Payload 混淆 - MACFuscation
• 23-有效负载混淆 - UUIDFuscation
• 24-Malware 学院工具 - HellShe
• 25-马尔代夫学院工具 - MiniShe
• 26-本地有效载荷执行 - DLL
• 27-本地有效负载执行-Shellcode
• 28-进程注入-DLL 注入
• 29-进程注入 - Shellcode 注入
• 3-必备工具
• 30-载荷暂存 - Web服务器
• 31-有效负载暂存-Windows注册表
• 32-恶意软件二进制签名
• 33-进程枚举 - EnumProcesses
• 34-进程枚举 - NtQuerySystemInformation
• 35-线程劫持-局部线程创建
• 36-线程劫持 - 远程线程创建
• 37-线程劫持 - 本地线程枚举
• 38-线程劫持-远程线程枚举
• 39-APC 注入
• 4- 编程基础
• 40-Early Bird APC 注入
• 41-回调代码执行
• 42-局部映射注入
• 43-远程映射注入
• 44-本地函数篡改注入
• 45-远程函数踩踏注入
• 46-有效载荷执行控制
• 47-欺骗 PPID
• 48-进程参数伪造 (1)
• 49-进程参数欺骗 (2)
• 5-Windows 架构
• 50-解析PE头文件
• 51-字符串哈希
• 52-IAT 隐藏和混淆-简介
• 53-IAT 隐藏和混淆——自定义 GetProcAddress
• 54-IAT 隐藏和混淆 - 自定义 GetModuleHandle
• 55-IAT 隐藏和混淆 - API 哈希
• 56-IAT 隐藏与混淆-自定义伪句柄
• 57-IAT 隐藏和混淆 - 编译时 API 哈希值
• 58-API Hooking - 简介
• 59-API Hooking - Detours库
• 6-Windows内存管理
• 60-API 挂钩 - Minhook 库
• 61-API 挂接 - 自定义代码
• 62-API Hooking - 如何使用 Windows API
• 63-系统调用 - 简介
• 64 位系统调用 - 用户空间挂钩
• 65-系统调用 - SysWhispers
• 66-系统调用 - 地狱之门
• 67-系统调用 - 重新实现经典注入
• 68-系统调用——重新实现映射注入
• 69-系统调用 - 重新实现 APC 注入
• 7-Windows API 简介
• 70-反分析 - 简介
• 71-反调试 - 多种技术
• 72-反调试 - 自我删除
• 73-反虚拟环境 - 多种技术
• 74- 反虚拟环境 - 多重延迟执行技术
• 75-反虚拟环境 - API 锤击
• 76-二进制熵减少
• 77-暴力破译
• 78-恶意软件开发学院工具 - KeyGuar
• 79-CRT 库移除及恶意软件编译
• 8-便携式可执行文件格式
• 80-IAT 迷彩
• 81-如何绕过 杀软
• 82-EDR简介
• 83-NTDLL 取消挂钩 - 简介
• 84-DLL调用取消挂钩 - 磁盘导入
• 85-NTDLL 取消挂钩 - 来自 KnownDlls 目录
• 86-NTDLL Unhooking - 从挂起进程
• 87-Web服务器上的NTDLL Unhooking
• 88-更新地狱之门
• 89-间接系统调用 - HellsHa
• 9-动态链接库
• 90-块 DLL 策略
• 91-深入 NtCreateUserProcess