深网（Deep Web）覆盖的内容包罗万象，其中包括有动态网页，已屏蔽网站（需要你回答问题或填写验证码进行访问），个人网站（需要登录凭证才能进行访问），非HTML/contextual/script内容和受限访问网络等等。但由于各种原因，Google等搜索引擎无法索引到暗网的内容。

在代码混淆当中，虚拟机被用于在一个程序上运行不同机器指令集。例如虚拟机可以让32位的x86架构机器上运行ARM指令集。用于代码混淆的虚拟机跟那种普通的，能运行操作系统的虚拟机完全不同（如：VMware），前者只用于执行有限的指令做一些特定的任务。

在这篇文章中，我将使用一个工具和一组Red Team的技术进行保持匿名性访问受感染的机器。同时，我会提供一些检测后门和应对这类攻击的建议。

这并不是一个全新的理念，但据我所知这些技术还没从渗透测试和Red Team的角度进行深入谈论。至少从2012年开始就有恶意软件的作者使用这些技术。如果他们这么做，我们当然也不能落后。

我想...在显示分析之前先交代一下背景信息。

But，我得先为我糟糕的英语先道个歉。

在2k6的时候，我在一个法国公司主持一些逆向工程项目，建立一套转有的技术体系。但是这些技术当中最好的/最大的收获便是逆向Skype协议获得的经验。

在分析恶意软件或对恶意软件进行脱壳的时候，我们经常会遇到重建PE文件的需求。现在大多数自动化的PE重建工具虽然很棒，但并不能针对每一种情况，有时候需要我们自己手动重建PE文件。在这篇博客中，我们将介绍一些重建PE文件的方法。

程序一开始就从main()函数执行的？事实并非如此。如果我们用IDA或者HIEW打开一个可执行文件，我们可以看到OEP（Original Entry Point）指向了其它代码块。这些代码做了一些维护和准备工作之后再把控制流交给我们的代码。这就是所谓的startup-code或叫CRT code(C RunTime)。

众所周知，所有运行的进程在操作系统里面分为两类：一类拥有访问全部硬件设备的权限（内核空间）而另一类无法直接访问硬件设备(用户空间)。
操作系统内核和驱动程序通常是属于第一类的。
而应用程序通常是属于第二类的。

TLS是每个线程特有的数据区域，每个线程可以把自己需要的数据存储在这里。一个著名的例子是C标准的全局变量errno。多个线程可以同时使用errno获取返回的错误码，如果是全局变量它是无法在多线程环境下正常工作的。因此errno必须保存在TLS。

这种传递参数的方法在C/C++语言里面比较流行。

如下的代码片段所示，调用者反序地把参数压到栈中：最后一个参数，倒数第二个参数，第一个参数。调用者还必须在函数返回之后把栈指针（ESP）还原为初始状态。