本书以实战项目为主线，以理论基础为核心，引导读者渐进式学习如何分析Windows操作系统的恶意程序。从恶意代码开发者的角度出发，阐述恶意代码的编码和加密、规避检测技术。最后，实战分析恶意程序的网络流量和文件行为，挖掘恶意域名等信息。 本书共14章，第1~9章详细讲述恶意代码分析基础技术点，从搭建环境开始，逐步深入分析WindowsPE文件结构，讲述如何执行编码或加密的shellcode二进制代码；第10~14章详细解析恶意代码常用的API函数混淆、进程注入、DLL注入规避检测技术，介绍Yara工具检测恶意代码的使用方法，从零开始，系统深入地剖恶意代码的网络流量和文件行为。 本书既适合初学者入门，对于工作多年的恶意代码分析工程师、网络安全渗透测试工程、网络安全软件开发人员、安全课程培训人员、高校网络安全专业方向的学生等也有参考价值，并可作为高等院校和培训机构相关专业的教学参考书。本书示例代码丰富，实践性和系统性较强。

刘晓阳，多年来一直从事网络安全方面的教学和研究工作。在网络渗透测试方面有十分丰富的实践经验，擅长对企业内网的渗透测试、开发红队安全工具的相关技术。

前言 很多人在年少时，曾经有一个黑客梦。 还记得“黑客”这个词是我在一部名为《黑客帝国》的电影中第一次接触到，虽然那时我并没有学习网络安全相关知识，但是里面的情景却深深地印在了我的脑海中。眼花缭乱的命令行画面让我兴奋不已，幻想着自己以后也能够敲出神奇的命令，其中关于注入木马病毒的场景至今记忆犹新。 随着互联网的快速发展，网络攻击日益频繁，恶意代码常被用于控制目标服务器，执行系统命令、监控操作系统等。恶意代码分析工程师需要分析恶意代码的样本，提取shellcode二进制代码，归纳总结恶意代码的特征码。使用特征码识别对应的恶意代码，从而检测和查杀对应的恶意程序。 目前市面上很少有关于逆向分析恶意代码的入门类书籍，这正是撰写本书的初衷，希望本书能为网络安全行业贡献一份微薄之力。通过编写本书，笔者查阅了大量的资料，使知识体系扩大了不少，收获良多。 本书主要内容 第1章介绍搭建恶意代码分析环境，包括FLARE VM及Kali Linux虚拟机的安装。 第2章介绍Windows程序基础，包括PE文件结构和PE分析工具。 第3章介绍生成和执行shellcode，包括Metasploit Framework生成shellcode和C语言加载执行shellcode。 第4章介绍逆向分析工具基础，包括静态分析工具IDA和动态分析工具x64dbg。 第5章介绍执行PE节中的shellcode，包括嵌入PE节的原理，执行嵌入.text、.data、.rsrc的shellcode。 第6章介绍base64编码的shellcode，...