逆嚮工程核心原理 pdf epub mobi txt 電子書下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

[韓] 李承遠著，武傳海譯

圖書標籤:

逆嚮工程
軟件安全
漏洞分析
調試器
匯編語言
二進製分析
程序分析
惡意軟件分析
x86
x64

下載連結在頁面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 複製連結

想要找書就要到新城書站

book.cndgn.com

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

齣版社：人民郵電齣版社

ISBN：9787115350183

版次：1

商品編碼：11456821

包裝：平裝

叢書名：圖靈程序設計叢書

開本：16開

齣版時間：2014-04-01

用紙：膠版紙

頁數：679

正文語種：中文

具體描述

編輯推薦

　　韓國逆嚮分析領域龍頭之作！
　　逆嚮分析師必知核心原理大全！
　　《逆嚮工程核心原理》集中講解逆嚮分析技術及其操作原理，不僅通過通俗易懂的語言介紹瞭每項技術，更通過豐富的示例使讀者徹底掌握核心部分的原理。閱讀此書不僅可以為逆嚮分析打下堅實基礎，更能夠獲得恒久保值的技術精髓。
　　想成為逆嚮工程研究員的讀者或正在從事逆嚮開發工作的開發人員一定會通過本書獲得很大幫助。同時，想成為安全領域專傢的人也可從本書輕鬆起步。

內容簡介

　　《逆嚮工程核心原理》十分詳盡地介紹瞭代碼逆嚮分析的核心原理。作者在Ahnlab 研究所工作多年，書中不僅包括其以此經驗為基礎親自編寫的大量代碼，還包含瞭逆嚮工程研究人員必須瞭解的各種技術和技巧。徹底理解並切實掌握逆嚮工程這門技術，就能在眾多IT相關領域進行拓展運用，這本《逆嚮工程核心原理》就是通嚮逆嚮工程大門的捷徑。
　　想成為逆嚮工程研究員的讀者或正在從事逆嚮開發工作的開發人員一定會通過《逆嚮工程核心原理》獲得很大幫助。同時，想成為安全領域專傢的人也可從《逆嚮工程核心原理》輕鬆起步。

作者簡介

李承遠
在AhnLab從事惡意代碼分析工作，一直維護著一個逆嚮分析技術專業學習博客。從接觸逆嚮分析技術開始就為其迷人魅力深深吸引，對逆嚮分析技術的傳播及多領域應用非常關注，喜歡讀書、發呆，也嚮往新的挑戰。
www.reversecore.com
reversecore@gmail.com

武傳海
擅韓語，喜計算機，有多年翻譯經驗，內容涉及多個領域，尤其擅長翻譯各類計算機圖書，已齣版多部韓語譯著。
QQ：768160125
jeonhae@126.com

內頁插圖

精彩書評

　　★嚮安全技術專傢邁齣第一步的必選書！
　　最近，越來越多的人開始關心信息技術安全，但是相關領域的安全技術專傢仍然十分匱乏。主要有兩方麵原因導緻這種現象形成：一方麵是因為必須做大量準備，努力學習；另一方麵是因為市麵上缺乏係統講解這類內容的專業書籍。
　　信息技術安全領域的圖書很少有講解惡意代碼分析的，本書恰好填補瞭這一空白。無論是剛開始學習惡意代碼分析的朋友，還是從事惡意代碼分析的專傢，都會為本書麵世而激動。
　　雖然讀者閱讀本書時需要具有基本的匯編語言知識，但是本書內容講解非常細緻，涵蓋瞭從惡意代碼分析基礎知識到高級技術的全部內容，係統而有條理，語言簡潔，通俗易懂，並在講解中選配瞭恰當的示例程序，使內容更易理解。對於最近齣現的惡意代碼中的各種常用技術，本書都做瞭詳細講解，無論你是初學者還是分析專傢，都能從中獲益。
　　信息安全技術涉及各領域，需要知識淵博、經驗豐富的專傢。本書將幫你輕鬆邁齣成為安全技術專傢的第一步。
　　——韓昌奎，ASEC中心主任

　　★如果此刻你手上正捧著這本書，說明你已經被代碼逆嚮分析的魅力深深吸引瞭！
　　對於剛開始學習代碼逆嚮分析技術的人而言，需要學習的內容很多，這容易讓人心生畏懼、止步不前。其實不需擔心，本書在學習過程中給齣瞭大量提示，各位藉助這些提示可以更好地理解所講的內容。
　　本書比較重視代碼逆嚮分析者的心態引導與培養，在內容講解上也與其他書籍不同，並不是單純的技巧羅列，而是深刻講解瞭相關技術的深層含義、技術的工作原理以及內部實現結構，這也是本書的重點所在。同時配閤豐富示例，讓內容變得更具體形象、更易理解，作者的良苦用心可見一斑。
　　你想成為代碼逆嚮分析員嗎？如果你感到睏惑：“我是開發人員，難道也需要讀它嗎？”
　　——鄭官真，CISCO高級研究員

第一部分　代碼逆嚮技術基礎
第1章　關於逆嚮工程　2
1．1　逆嚮工程　2
1．2　代碼逆嚮工程　2
1．2．1　逆嚮分析法　2
1．2．2　源代碼、十六進製代碼、匯編代碼　4
1．2．3 “打補丁”與“破解”　5
1．3　代碼逆嚮準備　5
1．3．1　目標　5
1．3．2　激情　6
1．3．3　榖歌　6
1．4　學習逆嚮分析技術的禁忌　6
1．4．1　貪心　6
1．4．2　急躁　7
1．5　逆嚮分析技術的樂趣　7

第2章　逆嚮分析Hello World!程序　8
2．1　Hello World!程序　8
2．2　調試HelloWorld．exe程序　9
2．2．1　調試目標　9
2．2．2　開始調試　9
2．2．3　入口點　10
2．2．4　跟蹤40270C函數　10
2．2．5　跟蹤40104F跳轉語句　12
2．2．6　查找main()函數　12
2．3　進一步熟悉調試器　14
2．3．1　調試器指令　14
2．3．2 “大本營”　15
2．3．3　設置“大本營”的四種方法　15
2．4　快速查找指定代碼的四種方法　17
2．4．1　代碼執行法　18
2．4．2　字符串檢索法　19
2．4．3　API檢索法(1)：在調用代碼中設置斷點　20
2．4．4　API檢索法(2)：在API代碼中設置斷點　21
2．5　使用“打補丁”方式修改“Hello World!”字符串　23
2．5．1 “打補丁”　23
2．5．2　修改字符串的兩種方法　24
2．6　小結　28

第3章　小端序標記法　31
3．1　字節序　31
3．1．1　大端序與小端序　32
3．1．2　在OllyDbg中查看小端序　32

第4章　IA-32寄存器基本講解　34
4．1　什麼是CPU寄存器　34
4．2　IA-32寄存器　34
4．3　小結　40

第5章　棧　41
5．1　棧　41
5．1．1　棧的特徵　41
5．1．2　棧操作示例　41

第6章　分析abex’ crackme#1　44
6．1　abex’ crackme #1　44
6．1．1　開始調試　45
6．1．2　分析代碼　45
6．2　破解　47
6．3　將參數壓入棧　47
6．4　小結　48

第7章　棧幀　49
7．1　棧幀　49
7．2　調試示例：stackframe．exe　49
7．2．1　StackFrame．cpp　50
7．2．2　開始執行main()函數&生成棧幀　51
7．2．3　設置局部變量　52
7．2．4　add()函數參數傳遞與調用　53
7．2．5　開始執行add()函數&生成棧幀　54
7．2．6　設置add()函數的局部變量(x， y)　55
7．2．7　ADD運算　55
7．2．8　刪除函數add()的棧幀&函數執行完畢(返迴)　56
7．2．9　從棧中刪除函數add()的參數(整理棧)　57
7．2．10　調用printf()函數　58
7．2．11　設置返迴值　58
7．2．12　刪除棧幀&main;()函數終止　58
7．3　設置OllyDbg選項　59
7．3．1　Disasm選項　59
7．3．2　Analysis1選項　60
7．4　小結　61

第8章　abex’ crackme #2　62
8．1　運行abex’ crackme #2　62
8．2　Visual Basic文件的特徵　63
8．2．1　VB專用引擎　63
8．2．2　本地代碼和僞代碼　63
8．2．3　事件處理程序　63
8．2．4　未文檔化的結構體　63
8．3　開始調試　63
8．3．1　間接調用　64
8．3．2　RT_MainStruct結構體　64
8．3．3　ThunRTMain()函數　65
8．4　分析crackme　65
8．4．1　檢索字符串　65
8．4．2　查找字符串地址　66
8．4．3　生成Serial的算法　68
8．4．4　預測代碼　69
8．4．5　讀取Name字符串的代碼　69
8．4．6　加密循環　70
8．4．7　加密方法　70
8．5　小結　72

第9章　Process Explorer——最優秀的進程管理工具　74
9．1　Process Explorer　74
9．2　具體有哪些優點呢　75
9．3　sysinternals　75

第10章　函數調用約定　76
10．1　函數調用約定　76
10．1．1　cdecl　76
10．1．2　stdcall　77
10．1．3　fastcall　78

第11章　視頻講座　79
11．1　運行　79
11．2　分析　79
11．2．1　目標(1)：去除消息框　79
11．2．2　打補丁(1)：去除消息框　81
11．2．3　目標(2)：查找注冊碼　83
11．3　小結　85

第12章　究竟應當如何學習代碼逆嚮分析　86
12．1　逆嚮工程　86
12．1．1　任何學習都應當有目標　86
12．1．2　擁有積極心態　86
12．1．3　要感受其中的樂趣　86
12．1．4　讓檢索成為日常生活的一部分　87
12．1．5　最重要的是實踐　87
12．1．6　請保持平和的心態　87

第二部分　PE文件格式
第13章　PE文件格式　90
13．1　介紹　90
13．2　PE文件格式　90
13．2．1　基本結構　91
13．2．2　VA&RVA;　92
13．3　PE頭　92
13．3．1　DOS頭　93
13．3．2　DOS存根　94
13．3．3　NT頭　94
13．3．4　NT頭：文件頭　95
13．3．5　NT頭：可選頭　97
13．3．6　節區頭　101
13．4　RVA to RAW　104
13．5　IAT　105
13．5．1　DLL　105
13．5．2　IMAGE_IMPORT_DESCRIPTOR　107
13．5．3　使用notepad．exe練習　108
13．6　EAT　112
13．6．1　IMAGE_EXPORT_DIRECTORY　113
13．6．2　使用kernel32．dll練習　114
13．7　高級PE　116
13．7．1　PEView．exe　116
13．7．2　Patched PE　117
13．8　小結　118

第14章　運行時壓縮　121
14．1　數據壓縮　121
14．1．1　無損壓縮　121
14．1．2　有損壓縮　121
14．2　運行時壓縮器　122
14．2．1　壓縮器　122
14．2．2　保護器　123
14．3　運行時壓縮測試　123

第15章　調試UPX壓縮的notepad程序　127
15．1　notepad．exe的EP代碼　127
15．2　notepad_upx．exe的EP代碼　127
15．3　跟蹤UPX文件　129
15．3．1　OllyDbg的跟蹤命令　129
15．3．2　循環 #1　129
15．3．3　循環 #2　130
15．3．4　循環 #3　131
15．3．5　循環 #4　131
15．4　快速查找UPX OEP的方法　132
15．4．1　在POPAD指令後的JMP指令處設置斷點　132
15．4．2　在棧中設置硬件斷點　133
15．5　小結　133

第16章　基址重定位錶　135
16．1　PE重定位　135
16．1．1　DLL/SYS　135
16．1．2　EXE　136
16．2　PE重定位時執行的操作　136
16．3　PE重定位操作原理　138
16．3．1　基址重定位錶　138
16．3．2　IMAGE_BASE_RELOCATION結構體　139
16．3．3　基址重定位錶的分析方法　139
16．3．4　練習　141

第17章　從可執行文件中刪除．reloc節區　142
17．1　．reloc節區　142
17．2　reloc．exe　142
17．2．1　刪除．reloc節區頭　142
17．2．2　刪除．reloc節區　143
17．2．3　修改IMAGE_FILE_HEADER　143
17．2．4　修改IMAGE_OPTIONAL_HEADER　144
17．3　小結　145

第18章　UPack PE文件頭詳細分析　146
18．1　UPack說明　146
18．2　使用UPack壓縮notepad．exe　146
18．3　使用Stud_PE工具　148
18．4　比較PE文件頭　148
18．4．1　原notepad．exe的PE文件頭　149
18．4．2　notepad_upack．exe運行時壓縮的PE文件頭　149
18．5　分析UPack的PE文件頭　150
18．5．1　重疊文件頭　150
18．5．2　IMAGE_FILE_HEADER．SizeOfOptionalHeader　150
18．5．3　IMAGE_OPTIONAL_HEADER．NumberOf-RvaAndSizes　152
18．5．4　IMAGE_SECTION_HEADER　153
18．5．5　重疊節區　155
18．5．6　RVA to RAW　156
18．5．7　導入錶(IMAGE_IMPORT_DESCRIPTOR array)　158
18．5．8　導入地址錶　160
18．6　小結　161

第19章　UPack調試? 查找OEP　162
19．1　OllyDbg運行錯誤　162
19．2　解碼循環　163
19．3　設置IAT　165
19．4　小結　166

第20章　“內嵌補丁”練習　167
20．1　內嵌補丁　167
20．2　練習：Patchme　168
20．3　調試：查看代碼流　168
20．4　代碼結構　172
20．5 “內嵌補丁”練習　173
20．5．1　補丁代碼要設置在何處呢　173
20．5．2　製作補丁代碼　175
20．5．3　執行補丁代碼　176
20．5．4　結果確認　177

第三部分　DLL注入
第21章　Windows消息鈎取　180
21．1　鈎子　180
21．2　消息鈎子　180
21．3　SetWindowsHookEx()　181
21．4　鍵盤消息鈎取練習　182
21．4．1　練習示例HookMain．exe　182
21．4．2　分析源代碼　185
21．5　調試練習　187
21．5．1　調試HookMain．exe　188
21．5．2　調試Notepad．exe進程內的KeyHook．dll　190
21．6　小結　192

第22章　惡意鍵盤記錄器　194
22．1　惡意鍵盤記錄器的目標　194
22．1．1　在綫遊戲　194
22．1．2　網上銀行　194
22．1．3　商業機密泄露　194
22．2　鍵盤記錄器的種類與發展趨勢　195
22．3　防範惡意鍵盤記錄器　195
22．4　個人信息　195

第23章　DLL注入　197
23．1　DLL注入　197
23．2　DLL注入示例　198
23．2．1　改善功能與修復Bug　198
23．2．2　消息鈎取　198
23．2．3　API鈎取　198
23．2．4　其他應用程序　199
23．2．5　惡意代碼　199
23．3　DLL注入的實現方法　199
23．4　CreateRemoteThread()　199
23．4．1　練習示例myhack．dll　199
23．4．2　分析示例源代碼　203
23．4．3　調試方法　208
23．5　AppInit_DLLs　210
23．5．1　分析示例源碼　211
23．5．2　練習示例myhack2．dll　212
23．6　SetWindowsHookEx()　214
23．7　小結　214

第24章　DLL卸載　216
24．1　DLL卸載的工作原理　216
24．2　實現DLL卸載　216
24．2．1　獲取進程中加載的DLL信息　219
24．2．2　獲取目標進程的句柄　220
24．2．3　獲取FreeLibrary() API地址　220
24．2．4　在目標進程中運行綫程　220
24．3　DLL卸載練習　220
24．3．1　復製文件及運行notepad．exe　220
24．3．2　注入myhack．dll　221
24．3．3　卸載myhack．dll　222

第25章　通過修改PE加載DLL　224
25．1　練習文件　224
25．1．1　TextView．exe　224
25．1．2　TextView_patched．exe　225
25．2　源代碼 - myhack3．cpp　227
25．2．1　DllMain()　227
25．2．2　DownloadURL()　228
25．2．3　DropFile()　229
25．2．4　dummy()　230
25．3　修改TextView．exe文件的準備工作　231
25．3．1　修改思路　231
25．3．2　查看IDT是否有足夠空間　231
25．3．3　移動IDT　233
25．4　修改TextView．exe　235
25．4．1　修改導入錶的RVA值　235
25．4．2　刪除綁定導入錶　235
25．4．3　創建新IDT　235
25．4．4　設置Name、INT、IAT　236
25．4．5　修改IAT節區的屬性值　238
25．5　檢測驗證　240
25．6　小結　241

第26章　PE Tools　242
26．1　PE Tools　242
26．1．1　進程內存轉儲　243
26．1．2　PE編輯器　245
26．2　小結　245

第27章　代碼注入　247
27．1　代碼注入　247
27．2　DLL注入與代碼注入　247
27．3　練習示例　249
27．3．1　運行notepad．exe　249
27．3．2　運行CodeInjection．exe　249
27．3．3　彈齣消息框　250
27．4　CodeInjection．cpp　250
27．4．1　main()函數　251
27．4．2　ThreadProc()函數　251
27．4．3　InjectCode()函數　254
27．5　代碼注入調試練習　256
27．5．1　調試notepad．exe　256
27．5．2　設置OllyDbg選項　256
27．5．3　運行CodeInjection．exe　257
27．5．4　綫程開始代碼　258
27．6　小結　259

第28章　使用匯編語言編寫注入代碼　260
28．1　目標　260
28．2　匯編編程　260
28．3　OllyDbg的匯編命令　260
28．3．1　編寫ThreadProc()函數　262
28．3．2　保存文件　265
28．4　編寫代碼注入程序　266
28．4．1　獲取ThreadProc()函數的二進製代碼　266
28．4．2　CodeInjection2．cpp　267
28．5　調試練習　270
28．5．1　調試notepad．exe　270
28．5．2　設置OllyDbg選項　270
28．5．3　運行CodeInjection2．exe　271
28．5．4　綫程起始代碼　272
28．6　詳細分析　272
28．6．1　生成棧幀　272
28．6．2　THREAD_PARAM結構體指針　273
28．6．3 “User32．dll”字符串　274
28．6．4　壓入“user32．dll”字符串參數　274
28．6．5　調用LoadLibraryA(“user32．dll”)　275
28．6．6 “MessageBoxA”字符串　276
28．6．7　調用GetProcAddress(hMod，“MessageBoxA”)　276
28．6．8　壓入MessageBoxA()函數的參數 1 -MB_OK　277
28．6．9　壓入MessageBoxA()函數的參數 2 -“ReverseCore”　277
28．6．10　壓入MessageBoxA()函數的參數 3 -“www．reversecore．com”　278
28．6．11　壓入MessageBoxA()函數的參數 4 -NULL　279
28．6．12　調用MessageBoxA()　279
28．6．13　設置ThreadProc()函數的返迴值　280
28．6．14　刪除棧幀及函數返迴　280
28．7　小結　280

第四部分　API鈎取
第29章　API鈎取：逆嚮分析之“花”　282
29．1　鈎取　282
29．2　API是什麼　282
29．3　API鈎取　283
29．3．1　正常調用API　283
29．3．2　鈎取API調用　284
29．4　技術圖錶　284
29．4．1　方法對象(是什麼)　285
29．4．2　位置(何處)　285
29．4．3　技術(如何)　286
29．4．4　API　286

第30章　記事本WriteFile() API鈎取　288
30．1　技術圖錶—調試技術　288
30．2　關於調試器的說明　289
30．2．1　術語　289
30．2．2　調試器功能　289
30．2．3　調試器的工作原理　289
30．2．4　調試事件　289
30．3　調試技術流程　290
30．4　練習　291
30．5　工作原理　293
30．5．1　棧　293
30．5．2　執行流　295
30．5．3 “脫鈎”&“鈎子”　295
30．6　源代碼分析　295
30．6．1　main()　296
30．6．2　DebugLoop()　296
30．6．3　EXIT_PROCESS_DEBUG_EVENT　298
30．6．4　CREATE_PROCESS_DEBUG_EVENT-OnCreateProcess-DebugEvent()　298
30．6．5　EXCEPTION_DEBUG_EVENT-OnException-DebugEvent()　300

第31章　關於調試器　305
31．1　OllyDbg　305
31．2　IDA Pro　305
31．3　WinDbg　306

第32章　計算器顯示中文數字　308
32．1　技術圖錶　308
32．2　選定目標API　309
32．3　IAT鈎取工作原理　312
32．4　練習示例　314
32．5　源代碼分析　316
32．5．1　DllMain()　316
32．5．2　MySetWindowTextW()　317
32．5．3　hook_iat()　319
32．6　調試被注入的DLL文件　322
32．6．1　DllMain()　325
32．6．2　hook_iat()　325
32．6．3　MySetWindowTextW()　327
32．7　小結　328

第33章　隱藏進程　329
33．1　技術圖錶　329
33．2　API代碼修改技術的原理　329
33．2．1　鈎取之前　330
33．2．2　鈎取之後　330
33．3　進程隱藏　332
33．3．1　進程隱藏工作原理　332
33．3．2　相關API　332
33．3．3　隱藏技術的問題　333
33．4　練習 #1(HideProc．exe，stealth．dll)　333
33．4．1　運行notepad．exe、procexp．exe、taskmgr．exe　334
33．4．2　運行HideProc．exe　334
33．4．3　確認stealth．dll注入成功　334
33．4．4　查看notepad．exe進程是否隱藏成功　335
33．4．5　取消notepad．exe進程隱藏　336
33．5　源代碼分析　336
33．5．1　HideProc．cpp　336
33．5．2　stealth．cpp　338
33．6　全局API鈎取　344
33．6．1　Kernel32．CreateProcess() API　344
33．6．2　Ntdll．ZwResumeThread() API　345
33．7　練習#2(HideProc2．exe，Stealth2．dll)　345
33．7．1　復製stealth2．dll文件到%SYSTEM%文件夾中　345
33．7．2　運行HideProc2．exe -hide　346
33．7．3　運行ProcExp．exe¬epad．exe　346
33．7．4　運行HideProc2．exe -show　347
33．8　源代碼分析　348
33．8．1　HideProc2．cpp　348
33．8．2　stealth2．cpp　348
33．9　利用“熱補丁”技術鈎取API　350
33．9．1　API代碼修改技術的問題　350
33．9．2 “熱補丁”(修改7個字節代碼)　350
33．10　練習 #3：stealth3．dll　353
33．11　源代碼分析　353
33．12　使用“熱補丁”API鈎取技術時需要考慮的問題　356
33．13　小結　357

第34章　高級全局API鈎取：IE連接控製　359
34．1　目標API　359
34．2　IE進程結構　361
34．3　關於全局API鈎取的概念　362
34．3．1　常規API鈎取　363
34．3．2　全局API鈎取　363
34．4　ntdll!ZwResumeThread() API　364
34．5　練習示例：控製IE網絡連接　368
34．5．1　運行IE　368
34．5．2　注入DLL　369
34．5．3　創建新選項卡　369
34．5．4　嘗試連接網站　370
34．5．5　卸載DLL　371
34．5．6　課外練習　372
34．6　示例源代碼　372
34．6．1　DllMain()　372
34．6．2　NewInternetConnectW()　373
34．6．3　NewZwResumeThread()　374
34．7　小結　375

第35章　優秀分析工具的五種標準　376
35．1　工具　376
35．2　代碼逆嚮分析工程師　376
35．3　優秀分析工具的五種標準　376
35．3．1　精簡工具數量　377
35．3．2　工具功能簡單、使用方便　377
35．3．3　完全掌握各種功能　377
35．3．4　不斷升級更新　377
35．3．5　理解工具的核心工作原理　377
35．4　熟練程度的重要性　377

第五部分　64位&Windows;內核6
第36章　64位計算　380
36．1　64位計算環境　380
36．1．1　64位CPU　380
36．1．2　64位OS　381
36．1．3　Win32 API　381
36．1．4　WOW64　381
36．1．5　練習：WOW64Test　384
36．2　編譯64位文件　385
36．2．1　Microsoft Windows SDK(Software Development Kit)　386
36．2．2　設置Visual C++ 2010 Express環境　386

第37章　x64處理器　389
37．1　x64中新增或變更的項目　389
37．1．1　64位　389
37．1．2　內存　389
37．1．3　通用寄存器　389
37．1．4　CALL/JMP指令　390
37．1．5　函數調用約定　391
37．1．6　棧 & 棧幀　392
37．2　練習：Stack32．exe & Stack64．exe　392
37．2．1　Stack32．exe　392
37．2．2　Stack64．exe　394
37．3　小結　397

第38章　PE32+　398
38．1　PE32+(PE+、PE64)　398
38．1．1　IMAGE_NT_HEADERS　398
38．1．2　IMAGE_FILE_HEADER　398
38．1．3　IMAGE_OPTIONAL_HEADER　399
38．1．4　IMAGE_THUNK_DATA　401
38．1．5　IMAGE_TLS_DIRECTORY　403

第39章　WinDbg　405
39．1　WinDbg　405
39．1．1　WinDbg的特徵　405
39．1．2　運行WinDbg　406
39．1．3　內核調試　407
39．1．4　WinDbg基本指令　409

第40章　64位調試　411
40．1　x64環境下的調試器　411
40．2　64位調試　411
40．3　PE32：WOW64Test_x86．exe　413
40．3．1　EP代碼　414
40．3．2　Startup代碼　414
40．3．3　main()函數　415
40．4　PE32+：WOW64Test_x64．exe　416
40．4．1　係統斷點　416
40．4．2　EP代碼　417
40．4．3　Startup代碼　418
40．4．4　main()函數　420
40．5　小結　423

第41章　ASLR　424
41．1　Windows內核版本　424
41．2　ASLR　424
41．3　Visual C++　424
41．4　ASLR．exe　425
41．4．1　節區信息　426
41．4．2　IMAGE_FILE_HEADERCharacteristics　427
41．4．3　IMAGE_OPTIONAL_HEADERDLL Characteristics　428
41．5　練習：刪除ASLR功能　428

第42章　內核6中的會話　430
42．1　會話　430
42．2　會話0隔離機製　432
42．3　增強安全性　432

第43章　內核6中的DLL注入　433
43．1　再現DLL注入失敗　433
43．1．1　源代碼　433
43．1．2　注入測試　435
43．2　原因分析　436
43．2．1　調試 #1　436
43．2．2　調試 #2　438
43．3　練習：使CreateRemoteThread()正常工作　440
43．3．1　方法 #1：修改CreateSuspended參數值　440
43．3．2　方法 #2：操縱條件分支　441
43．4　稍作整理　443
43．5　InjectDll_new．exe　443
43．5．1　InjectDll_new．cpp　443
43．5．2　注入練習　446

第44章　InjDll．exe：DLL注入專用工具　448
44．1　InjDll．exe　448
44．1．1　使用方法　448
44．1．2　使用示例　449
44．1．3　注意事項　450

第六部分　高級逆嚮分析技術
第45章　TLS迴調函數　452
45．1　練習 #1：HelloTls．exe　452
45．2　TLS　453
45．2．1　IMAGE_DATA_DIRECTORY[9]　453
45．2．2　IMAGE_TLS_DIRECTORY　454
45．2．3　迴調函數地址數組　454
45．3　TLS迴調函數　455
45．4　練習 #2：TlsTest．exe　456
45．4．1　DLL_PROCESS_ATTACH　457
45．4．2　DLL_THREAD_ATTACH　457
45．4．3　DLL_THREAD_DETACH　457
45．4．4　DLL_PROCESS_DETACH　457
45．5　調試TLS迴調函數　458
45．6　手工添加TLS迴調函數　459
45．6．1　修改前的原程序　460
45．6．2　設計規劃　460
45．6．3　編輯PE文件頭　461
45．6．4　設置IMAGE_TLS_DIRECTORY結構體　463
45．6．5　編寫TLS迴調函數　464
45．6．6　最終完成　464
45．7　小結　465

第46章　TEB　466
46．1　TEB　466
46．1．1　TEB結構體的定義　466
46．1．2　TEB結構體成員　466
46．1．3　重要成員　469
46．2　TEB訪問方法　470
46．2．1　Ntdll．NtCurrentTeb()　470
46．2．2　FS段寄存器　471
46．3　小結　472

第47章　PEB　473
47．1　PEB　473
47．1．1　PEB訪問方法　473
47．1．2　PEB結構體的定義　474
47．1．3　PEB結構體的成員　475
47．2　PEB的重要成員　477
47．2．1　PEB．BeingDebugged　478
47．2．2　PEB．ImageBaseAddress　478
47．2．3　PEB．Ldr　479
47．2．4　PEB．ProcessHeap & PEB．NtGlobalFlag　480
47．3　小結　480

第48章　SEH　481
48．1　SEH　481
48．2　SEH練習示例 #1　481
48．2．1　正常運行　481
48．2．2　調試運行　482
48．3　OS的異常處理方法　484
48．3．1　正常運行時的異常處理方法　484
48．3．2　調試運行時的異常處理方法　484
48．4　異常　485
48．4．1　EXCEPTION_ACCESS_VIOLATION(C0000005)　486
48．4．2　EXCEPTION_BREAKPOINT(80000003)　486
48．4．3　EXCEPTION_ILLEGAL_INSTRUCTION(C000001D)　488
48．4．4　EXCEPTION_INT_DIVIDE_BY_ZERO(C0000094)　488
48．4．5　EXCEPTION_SINGLE_STEP(80000004)　489
48．5　SEH詳細說明　489
48．5．1　SEH鏈　489
48．5．2　異常處理函數的定義　489
48．5．3　TEB．NtTib．ExceptionList　491
48．5．4　SEH安裝方法　492
48．6　SEH練習示例 #2(seh．exe)　492
48．6．1　查看SEH鏈　493
48．6．2　添加SEH　493
48．6．3　發生異常　494
48．6．4　查看異常處理器參數　494
48．6．5　調試異常處理器　496
48．6．6　刪除SEH　498
48．7　設置OllyDbg選項　499
48．7．1　忽略KERNEL32中發生的內存非法訪問異常　500
48．7．2　嚮被調試者派送異常　500
48．7．3　其他異常處理　500
48．7．4　簡單練習　500
48．8　小結　501

第49章　IA-32指令　502
49．1　IA-32指令　502
49．2　常用術語　502
49．2．1　反匯編器　503
49．2．2　反編譯器　504
49．2．3　反編譯簡介　504
49．3　IA-32指令格式　506
49．3．1　指令前綴　507
49．3．2　操作碼　507
49．3．3　ModR/M　507
49．3．4　SIB　508
49．3．5　位移　508
49．3．6　立即數　509
49．4　指令解析手冊　509
49．4．1　下載IA-32用戶手冊　509
49．4．2　打印指令解析手冊　509
49．5　指令解析練習　510
49．5．1　操作碼映射　510
49．5．2　操作數　511
49．5．3　ModR/M　512
49．5．4　Group　514
49．5．5　前綴　516
49．5．6　雙字節操作碼　518
49．5．7　移位值&立即數　519
49．5．8　SIB　520
49．6　指令解析課外練習　524
49．7　小結　524

第七部分　反調試技術
第50章　反調試技術　526
50．1　反調試技術　526
50．1．1　依賴性　526
50．1．2　多種反調試技術　526
50．2　反調試破解技術　526
50．3　反調試技術的分類　527
50．3．1　靜態反調試技術　528
50．3．2　動態反調試技術　528

第51章　靜態反調試技術　529
51．1　靜態反調試的目的　529
51．2　PEB　529
51．2．1　BeingDebugged(+0x2)　531
51．2．2　Ldr(+0xC)　531
51．2．3　Process Heap(+0x18)　532
51．2．4　NtGlobalFlag(+0x68)　533
51．2．5　練習：?StaAD_PEB．exe　534
51．2．6　破解之法　534
51．3　NtQueryInformationProcess()　537
51．3．1　ProcessDebugPort(0x7)　538
51．3．2　ProcessDebugObjectHandle(0x1E)　539
51．3．3　ProcessDebugFlags(0x1F)　539
51．3．4　練習：StaAD_NtQIP．exe　540
51．3．5　破解之法　540
51．4　NtQuerySystemInformation()　542
51．4．1　SystemKernelDebugger-Information(0x23)　544
51．4．2　練習：StaAD_NtQSI．exe　545
51．4．3　破解之法　545
51．5　NtQueryObject()　545
51．6　ZwSetInformationThread()　549
51．6．1　練習：StaAD_ZwSIT．exe　549
51．6．2　破解之法　550
51．7　TLS迴調函數　550
51．8　ETC　551
51．8．1　練習：StaAD_FindWindow．exe　551
51．8．2　破解之法　551
51．9　小結　553

第52章　動態反調試技術　554
52．1　動態反調試技術的目的　554
52．2　異常　554
52．2．1　SEH　554
52．2．2　SetUnhandledException-Filter()　558
52．3　Timing Check　562
52．3．1　時間間隔測量法　562
52．3．2　RDTSC　563
52．4　陷阱標誌　565
52．4．1　單步執行　566
52．4．2　INT 2D　569
52．5　0xCC探測　572
52．5．1　API斷點　573
52．5．2　比較校驗和　575

第53章　高級反調試技術　577
53．1　高級反調試技術　577
53．2　垃圾代碼　577
53．3　擾亂代碼對齊　578
53．4　加密/解密　581
53．4．1　簡單的解碼示例　581
53．4．2　復雜的解碼示例　582
53．4．3　特殊情況：代碼重組　584
53．5　Stolen Bytes(Remove OEP)　584
53．6　API重定嚮　587
53．6．1　原代碼　588
53．6．2　API重定嚮示例 #1　588
53．6．3　API重定嚮示例#2　589
53．7　Debug Blocker(Self Debugging)　593
53．8　小結　595

第八部分　調試練習
第54章　調試練習1：服務　598
54．1　服務進程的工作原理　598
54．1．1　服務控製器　598
54．1．2　服務啓動過程　599
54．2　DebugMe1．exe示例講解　600
54．2．1　安裝服務　600
54．2．2　啓動服務　602
54．2．3　源代碼　604
54．3　服務進程的調試　606
54．3．1　問題在於SCM　606
54．3．2　調試器無所不能　606
54．3．3　常用方法　606
54．4　服務調試練習　606
54．4．1　直接調試：強製設置EIP　606
54．4．2　服務調試的常用方法：“附加”方式　609
54．5　小結　615

第55章　調試練習2：自我創建　616
55．1　自我創建　616
55．2　工作原理　617
55．2．1　創建子進程(掛起模式)　617
55．2．2　更改EIP　618
55．2．3　恢復主綫程　618
55．3　示例程序源代碼　618
55．4　調試練習　620
55．4．1　需要考慮的事項　620
55．4．2　JIT調試　621
55．4．3　DebugMe2．exe　622
55．5　小結　626

第56章　調試練習3：PE映像切換　627
56．1　PE映像　627
56．2　PE映像切換　628
56．3　示例程序：Fake．exe、Real．exe、DebugMe3．exe　628
56．4　調試1　631
56．4．1　Open? 輸入運行參數　631
56．4．2　main()函數　632
56．4．3　SubFunc_1()　634
56．4．4　CreateProcess(“fake．exe”，CREATE_SUSPENDED)　635
56．4．5　SubFunc_2()　635
56．4．6　SubFunc_3()　641
56．4．7　ResumeThread()　644
56．5　調試2　644
56．5．1　思考　645
56．5．2　嚮EP設置無限循環　645
56．6　小結　647

第57章　調試練習4：Debug Blocker　648
57．1　Debug Blocker　648
57．2　反調試特徵　648
57．2．1　父與子的關係　649
57．2．2　被調試進程不能再被其他調試器調試　649
57．2．3　終止調試進程的同時也終止被調試進程　649
57．2．4　調試器操作被調試者的代碼　649
57．2．5　調試器處理被調試進程中發生的異常　649
57．3　調試練習：DebugMe4．exe　650
57．4　第一次調試　650
57．4．1　選定調試的起始位置　650
57．4．2　main()　650
57．5　第二次調試　651
57．6　第三次調試　653
57．7　第四次調試　656
57．8　第五次調試　658
57．8．1　係統斷點　658
57．8．2　EXCEPTION_ILLEGAL_INSTRUCTION(1)　659
57．8．3　EXCEPTION_ILLEGAL_INSTRUCTION(2)　660
57．9　第六次調試　661
57．9．1　40121D(第一個異常)　661
57．9．2　401299(第二個異常)　665
57．10　第七次調試　667
57．10．1　靜態方法　668
57．10．2　動態方法　669
57．11　小結　673

結束語　674
索引　676

前言/序言

　　本書將指引你進入美妙又刺激的代碼逆嚮分析世界，開啓一段神奇之旅！
　　軟件逆嚮工程（代碼逆嚮分析）是一種探究應用程序內部組成結構及工作原理的技術。歡迎各位來到代碼逆嚮分析世界，經曆各種神奇的冒險，迎接各種富有趣味的挑戰。
　　不論是我們自己編寫的程序，還是其他人編寫的無源碼程序，隻要運用逆嚮分析技術，我們就能輕鬆窺探程序內部結構、掌握工作原理。靈活運用逆嚮分析技術可以在程序的開發與測試階段發現Bug和漏洞，並直接修改程序文件或內存解決這些隱含的問題。而且，我們還可以藉助逆嚮分析技術為程序添加新功能，使程序更強大。這就像是一種魔法，魅力無限。
　　學習逆嚮分析技術前並不需要準備太多。下麵給各位講講我的經曆。幾年來，我一直維護著一個逆嚮分析技術學習博客，訪客們問得最多的問題是：“究竟該怎樣學習逆嚮分析技術？”我結閤自身經驗並分析瞭一些學習失敗的案例後發現，失敗的最大原因並不是學習本身的難度與要學內容的數量，而是對學習逆嚮技術的恐懼與憂慮——“我連C語言還不懂呢”、“一定要掌握匯編語言嗎”、“OS架構我還沒搞明白”、“不知道怎麼用調試器”、“學完這麼多內容纔能真正開始學逆嚮分析技術啊”，以上這些擔心正是迫使學習者們中途放棄的主要原因。其實，學習逆嚮分析技術與學習C語言、匯編語言、OS架構、調試器用法等內容是一樣的。將這些內容全部掌握的人已經是專傢瞭，當然不需要這個入門過程。
　　你仍對逆嚮分析技術一無所知？沒關係，不必沮喪，這反而是件好事。因為你會在以後的學習過程中學到很多東西，會變得更聰明、更有價值，誰說這不是件好事呢？
　　如果你夢想成為逆嚮分析工程師，但不知如何入門；如果你是一名程序開發者，又對逆嚮分析技術非常感興趣，那麼本書將非常適閤閱讀。學習逆嚮分析技術並不像公式一樣背下來就可以瞭，死記硬背的結果是你會不知道如何靈活運用。學習某些知識技術時，不僅要掌握其本身，還要知道它們的內部機製與工作原理，既知其然又知其所以然，這纔是最重要的。所以，本書講解相關知識與技術時，將講解重點放在對其工作原理的分析與說明上，這將更有利於各位真正掌握它們。為什麼本書非常適閤作為逆嚮分析技術的入門書呢？以下是我的幾點理由。
　　第一，開發與分析的經驗。一名逆嚮分析工程師不僅要具備專業的逆嚮分析技術，還要具有一定的程序開發能力。我以前從事網絡應用程序開發，後來開始做惡意代碼分析工作，慢慢就對逆嚮分析技術熟悉起來。可以說，我是從程序開發者轉變為逆嚮分析員的為數不多的人之一。程序開發與逆嚮分析這兩項技術相輔相成、互為補充、共同發展，形成相得益彰的效果。日常工作中，它們就像一雙翅膀應用於各類業務。分析程序時，人們自然就會從程序開發與逆嚮分析這兩個角度著手。書中用到的幾乎所有示例都基於我在逆嚮分析實踐中獲得的知識與經驗，是我親自開發的程序，緊扣各章主題，絕無纍贅。
　　第二，培訓與演講的經驗。我在公司慢慢有瞭資曆，隨之而來的培訓、研討會、演講也逐漸多起來。我進行逆嚮分析技術培訓時，麵對的學員大都是初學者，這些機會非常有利於我瞭解他們遇到的睏難與想知道的東西。所以，我一直在用心思考，如何用更易理解的方式傳授要講解的知識，這樣就慢慢形成瞭自己特有的講解技巧與風格。編寫本書時，我又將這些培訓經驗應用到本書的組織結構、內容講解、示例選擇等各方麵，以求將較為難懂的技術以更易懂的方式呈現給各位。
　　第三，豐富的溝通經驗。我幾年前就開設瞭一個逆嚮技術學習博客並運營至今。剛開始的想法非常簡單，就是想歸納整理自己學到的逆嚮分析技術。後來訪客越來越多，留下的問題也多起來。我感到很驚訝，之前一直以為韓國是逆嚮分析技術的“不毛之地”，結果關注逆嚮分析技術的人比我想得要多，並且他們關注的範圍也非常廣泛。這大大拓寬瞭我的視野，於是我開始訪問其他逆嚮分析技術學習博客，接觸到瞭更多文章與問題，慢慢瞭解瞭他們關注的部分。我在此過程中逐漸認識到，初學者們想知道的是逆嚮分析技術的係統的學習方法。他們入門之後迫切要學習的是專業的逆嚮分析技術與內部工作原理。有感於此，我就萌生瞭寫一本係統學習逆嚮分析技術書的想法，就這樣，在逆嚮分析與開發、培訓、演講、交流等經驗基礎上，這本逆嚮分析技術學習入門書誕生瞭。
　　那麼，讀者應該如何使用本書學習逆嚮分析技術呢？對此，我給齣如下幾點建議，供各位參考。
　　第一，技術書不是裝飾書架的道具，它們是提高各位技術水平的工具。所以閱讀時要勾畫齣重要部分，在書頁空白處寫下自己的想法與心得等。閱讀時，在書頁上記錄相關技術、注意事項、技術優缺點、與作者的不同見解等，讓它成為隻屬於你的書。讀完這樣一本逆嚮分析技術書後，不知不覺間就構建齣自己獨特的逆嚮分析世界，最終成為代碼逆嚮分析專傢。
　　第二，擁有積極樂觀的心態。逆嚮分析是一項深奧的技術，會涉及OS底層知識。要學的內容很多，並且大部分內容需要親自測試並確認纔能最終理解。必須用積極樂觀的心態對待這一過程，學習逆嚮技術無關聰明與否，隻跟投入時間的多少有關。學習時，不要太急躁，請保持輕鬆的心態。
　　第三，不斷挑戰。逆嚮分析不盡如人意時，不要停下來，要嘗試其他方法，不斷挑戰。要相信一定會有解決的方法，可能幾年前早已有人成功過瞭。搜索相關資料並不斷嘗試，不僅能提高自身技術水平，解決問題後，心裏還能感受到一種成就感。這樣的成功經驗一點點積纍起來，自信心就會大大增強，自身的逆嚮分析水平也會得到明顯提高。這種從經驗中獲得的自信會不知不覺地對逆嚮分析過程産生積極影響，讓逆嚮分析往更好的方嚮發展。
　　希望本書能夠幫助各位把“心願錶”上的願望一一實現，也希望各位把本書講解的知識、技術廣泛應用到逆嚮分析過程中，發揮更大的作用。謝謝。
　　感謝
　　動筆容易寫完難。我隻身一人是無法完成本書的，寫作過程中得到瞭很多人的關心、支持與鼓勵，沒有他們就不會有本書。藉此機會，我嚮所有給予幫助的人錶示最誠摯的謝意。
　　首先，感謝愛妻素英，謝謝你一直以來相信我、默默支持我，你的微笑是我的能量之源。還要感謝我的兩個寶貝兒子浩俊、薑憲，你們的陪伴讓疲勞煙消雲散，讓我心裏始終充滿幸福。還有我的父母，你們總是關心著我和我的工作。正是你們給瞭我戰勝一切睏難的勇氣，衷心感謝你們。
　　其次，要感謝崔景哲先生，您的稱贊與鼓勵一直激勵著我寫完全書。還要感謝韓昌圭先生與鄭寬鎮先生，兩位前輩寫的推薦詞使本書增色不少。我早在動筆時就囑托二位為本書寫推薦語瞭。請一定允許我為兩位的新書寫推薦詞。
　　再次，嚮Insight齣版社的韓基晟社長以及所有員工，特彆是趙岩熹編輯錶示最誠摯的謝意。他將一塊粗糙的原石打磨成瞭珍貴的寶石，我以後寫書也會無條件請他負責。
　　最後，對關注本書的同事、公司實習生，以及博客訪客們錶示感謝。你們總是熱心地詢問：“什麼時候齣書啊？”你們的關心最終促成我寫完全書。還要感謝購買本書的讀者們，你們的夢想與熱情一直鼓舞著我。
　　李承遠