|
|
马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
, ` _8 V; v1 n/ N3 g5 w. {
, i3 ~- n0 |0 X: M, J7 G6 v% z- |
书名:《逆向工程核心原理》
4 Z8 _1 i7 \* |) x3 F2 |3 s$ v3 ^作者:李承远2 d3 ^/ x! F6 z5 f N6 f# n
译者:武传海0 B: y' u+ X" o: n0 q4 c8 |6 |
出版社:人民邮电出版社
3 I0 U/ X+ `6 |# n4 r出版年:2014年5月1日(第1版)1 ]/ `, K. Q6 r. Y- O* J
定价:109.00元% c2 j$ l5 s; B S( K8 J
装帧:平装1 J3 h5 G4 [$ s: x
ISBN:9787115350183/ |7 C* |3 ~% W5 S. V% l
+ x, [# q9 @ |' x( I7 U购买链接:
K/ P% k; f0 q5 a1 G1 P9 g
- w8 y0 y2 v8 f- V6 I6 n/ [
0 q! L9 [" | q0 M/ r) Y
亚马逊 -> 传送门; N$ a+ X1 u: z4 V5 F0 y
& N% Q9 F+ J; s1 S( Y$ |当当网 -> 传送门0 d, q! t) N3 @+ @9 G8 E
. y6 E+ S% `4 o* u7 w9 ~0 g
京东 -> 传送门
1 h" A9 s" @1 |9 M) j4 @6 g5 \, ^4 c* i* ~# m/ J
天猫 -> 传送门
8 x4 Q: p4 O8 ~5 R7 O |. `9 N
9 M: }/ R% C- e" c( `
9 d0 j" e9 h/ R' V3 P内容简介:
# R/ A) d1 u/ V5 _2 J5 Q" \# U1 T& h0 [# y
: T9 I$ G9 b3 x' n, u* H《逆向工程核心原理》十分详尽地介绍了代码逆向分析的核心原理。作者在 Ahnlab 研究所工作多年,书中不仅包括其以此经验为基础亲自编写的大量代码,还包含了逆向工程研究人员必须了解的各种技术和技巧。彻底理解并切实掌握逆向工程这门技术,就能在众多 IT 相关领域进行拓展运用,这本《逆向工程核心原理》就是通向逆向工程大门的捷径。. m* _8 D2 H' R! S0 I0 C8 Z
* t$ p- _% v/ `4 l' ?想成为逆向工程研究员的读者或正在从事逆向开发工作的开发人员一定会通过《逆向工程核心原理》获得很大帮助。同时,想成为安全领域专家的人也可从《逆向工程核心原理》轻松起步。 d H, _8 k- _1 k. i: K
0 B4 {# p; J C# _9 u4 |4 ]8 Y
9 z- ~/ Q( `' b! J目录:
) g- k6 U1 {0 T5 `% h$ ~) X5 C+ j
- u' F4 ]4 x* X- v! m* t2 M! ~
3 U* r7 l6 r7 O7 f" G第一部分 代码逆向技术基础
+ j5 _, D7 I( i5 j8 D
$ [; v, ^! N8 u0 \6 L! c* c8 H第1章 关于逆向工程
/ l6 w" A# p" w6 F2 h& E k9 t) @+ F' Q4 J; u" k4 H$ T9 h
1.1逆向工程
) P$ [5 l5 S0 w1 h0 V' n, h' ?1.2代码逆向工程
+ G+ E2 j; ]& E+ M4 G1.2.1逆向分析法
9 W. y6 D) F* s. w1.2.2源代码、十六进制代码、汇编代码 1 E1 ^& B7 x, |7 @( _
1.2.3“打补丁”与“破解” $ G2 r6 N0 F# W; `( v H
1.3代码逆向准备 ]1 M; ]; l& S) A
1.3.1目标
D% v! A7 o* m' e1.3.2激情
$ [& W$ R, K: q( _- @( i" H/ ?& R1.3.3谷歌 5 w; @ N$ ~; W9 }" {0 r) X6 `
1.4学习逆向分析技术的禁忌
- ]7 B" C3 E& G# i! E; y# B1.4.1贪心
0 j6 s% X8 `6 z, k1.4.2急躁 - H" j' k9 `) p3 o
1.5逆向分析技术的乐趣
1 j' C; N" n3 H) r7 y, ~) ~
# g3 Y0 e+ P& h& L. u1 b5 R0 F第2章 逆向分析HelloWorld!程序
' @) ]7 ~4 M! F" L8 u% f" X1 C
) K! n$ V6 T: x) T7 n! h2.1HelloWorld!程序
1 @ ~3 G+ s: {8 C( \# y1 V: s6 i+ B2.2调试HelloWorld.exe程序 `$ ^! a$ m& u$ l5 `5 S
2.2.1调试目标 " p/ S, x! k0 }* F5 r, p5 Z
2.2.2开始调试
+ x2 _" x5 S1 C* S: c; U# U5 @3 y, l2.2.3入口点
) U/ s4 [9 \9 T& B% b. m2.2.4跟踪40270C函数 , _* O7 C X2 `- u6 g# J
2.2.5跟踪40104F跳转语句 # Q/ }. p9 i. j9 D7 _: d7 K
2.2.6查找main()函数 : F* v. H2 a$ H2 W
2.3进一步熟悉调试器
5 c# M9 c y2 {: Z2.3.1调试器指令 - r" ^$ {2 k L1 e6 `
2.3.2“大本营” % y/ E- b0 k& d! p! \2 n2 w' N
2.3.3设置“大本营”的四种方法
+ q" B: w; o D3 V) O2.4快速查找指定代码的四种方法
5 g9 M' L, z3 c: C6 R2.4.1代码执行法 2 n. f8 k$ w$ r" ~
2.4.2字符串检索法
" A0 ~3 g: n6 W# |2.4.3API检索法(1):在调用代码中设置断点
9 V& @& c$ t6 R$ y* V. y8 h2.4.4API检索法(2):在API代码中设置断点 , e* P3 Q1 u3 M! G! a1 h, ?7 \
2.5使用“打补丁”方式修改“HelloWorld!”字符串 / z& d7 A' a6 o8 i* h
2.5.1“打补丁”
! i" K' ^' [* G2 Y$ J2.5.2修改字符串的两种方法 0 U0 W- x) F' S" s. c
2.6小结
; m6 Q! {4 J" @3 l+ `- T1 C7 m5 M
" U4 H( K. r- P" _, z: x3 _! n第3章 小端序标记法
2 g5 M. u' {! C5 q) \( Q
' w* Q* d( N, C( ^3.1字节序
# d- P) X% h1 i8 @+ [' M3.1.1大端序与小端序 8 l/ Q6 {+ o8 v4 P7 J6 s2 Q
3.1.2在OllyDbg中查看小端序
) N ?' X" L9 n2 a6 d B- c9 \
2 }9 m9 N' V) ?8 H5 C$ Y* J1 `4 N第4章 IA—32寄存器基本讲解 . \9 {8 X# j0 ]( R
3 H+ ^* K. m# E
4.1什么是CPU寄存器
1 Q( u1 c" K- P1 d4.2IA—32寄存器
2 I) s# A4 o$ J9 W4.3小结
/ U, H6 e& p+ E& V- x' `
' z% f. {# S! S6 @8 v第5章栈( h$ H- h6 a) [( `
, F* S1 Z3 W; t
5.1栈 2 D3 |& J3 p7 H( B4 y* M. K w
5.1.1栈的特征
, S* o) g* Z, X1 R: N) O5.1.2栈操作示例
( |& d+ `9 x$ p' f- I1 l5 n2 Q5 g7 y6 V& R5 Q
第6章 分析abex'crackme#11 x! U0 m* e+ U ?$ M
6 A0 A& C+ n! p" G j7 g; _# w
6.1dbex'crackme#1
+ Y) n1 j5 f! V9 E A; L6.1.1开始调试 5 C" Z7 C. ?5 {
6.1.2分析代码
$ x# g$ N/ m3 ?& i; u6.2破解
4 o& o1 J/ \" p9 e1 W6 F( y6.3将参数压入栈 6 c( i! D6 A$ I
6.4小结
; q2 ]( d& r9 |( E, {2 u! D; J$ v' @
2 D" F. j! z2 y, \- Q第7章 栈帧
- d. _9 W2 C, i( Z/ G6 f5 Y. `) X, g0 i% P
7.1栈帧
# z% n* P, G0 n7.2调试示例:stackframe.exe
9 p/ H* s3 D# O A7.2.1StackFrame.cpp 5 H, X0 J5 o: ^
7.2.2开始执行main()函数&生成栈帧
: k9 r* a6 ^2 ?) F: G! Q7 [7.2.3设置局部变量
& x4 y/ {2 o$ N ~4 `# Q) C7.2.4add()函数参数传递与调用
; D& Q$ C$ L1 n0 Z W7.2.5开始执行add()函数&生成栈帧
; v9 c% r" z% c& f8 ~( s7.2.6设置add()函数的局部变量(x,y) : B; h- s: t, s p) L
7.2.7ADD运算
% q. ?- j2 X$ M7.2.8删除函数add()的栈帧&函数执行完毕(返回) 7 e; T( c, U1 u, \% g1 D& K
7.2.9从栈中删除函数add()的参数(整理栈)
$ l4 `! E) j: @3 S7.2.10调用printf()函数
- w! ^1 S# r4 J3 @" v7.2.11设置返回值
' B0 X. ?8 |1 C# }& c l7.2.12删除栈帧&main()函数终止
' B$ o, h; ?/ R9 j5 I" D6 y7.3设置OllyDbg选项 \% [( E4 s, B7 I2 D4 w. t" ^
7.3.1Disasm选项
2 Y" h0 z( w, r: M( h/ D4 O6 R7.3.2Analysisl选项 * g7 q9 ^& S/ E# w @
7.4小结 $ q) q/ w# N; `; L. k0 |7 Q& z" T, _
" W. Z Q# W/ X+ u1 n第8章 abex'crackme#2
& D* p2 D7 E# d8 e) a; u1 V, u4 {( m! i: l% Z1 o" \9 K& J
8.1运行abex'crackme#2 % a5 T" f. o) X
8.2VisualBasic文件的特征
% f2 V1 C; a5 B/ q! |* \8.2.1VB专用引擎
; G5 }" L7 J: t/ R( y; Z8.2.2本地代码和伪代码
# _5 Q7 {5 G, w' i8.2.3事件处理程序 4 G( z9 Q3 O$ a' m8 D$ C5 W
8.2.4未文档化的结构体 / W+ A2 D0 g, F
8.3开始调试 ( g. t+ N# d0 S+ c2 M5 w- q
8.3.1间接调用 $ |- F, j+ T0 X# V- o/ y$ F9 z, Z
8.3.2RTMainStruct结构体
% f4 W% H. y9 l8 u8.3.3ThunRTMain()函数 * b1 U6 l! ~; ?8 K/ ?2 s! h' m& U
8.4分析crackme
, _& b/ b3 ~4 F2 C- m5 x8.4.1检索字符串 / p* R' k& S9 S
8.4.2查找字符串地址
6 g; r$ g' }( m" A8.4.3生成Serial的算法
$ D [- s) y8 f# N4 C; u8.4.4预测代码
9 l) P: I1 q1 J/ @0 `8.4.5读取Name字符串的代码 6 e! L3 g( k6 u/ G
8.4.6加密循环 - o3 E+ Y( T. U4 h% Q" X4 R
8.4.7加密方法
+ k7 b7 ?" J" v2 K, Y1 D8.5小结
8 E* ?" h- R: t5 Q$ v$ _% F" _# d( y/ c+ L' k0 v! z7 w+ G t! n1 i
第9章 ProcessExplorer——最优秀的进程管理工具 + z% l3 `2 T ^& s
% l0 m& i4 e( o9.1ProcessExplOrer 7 _4 C0 d5 S; Y" u' k
9.2具体有哪些优点呢 4 {) O/ C' j$ N7 ]# {% l! V+ v4 x
9.3sysintemals, h3 l, l, m) F% W# {$ J6 [+ ^
$ S5 T* T2 S- d4 U" c9 Y! d
第10章 函数调用约定 / Z T7 @* s9 S, ?: E
2 M+ U0 U1 X1 H/ c" @5 H; {" }, T10.1函数调用约定 4 x9 Z- J1 L5 Q) m
10.1.1Cdecl
7 P1 i% c6 \8 w& R) r0 U4 H: X5 A10.1.2Stdcall 8 D! [- E' S2 h3 i
10.1.3faStCall
# {& t& z# @ [9 x7 z9 y- \' H% i( k; Y: H
第11章 视频讲座
5 n/ M2 a" @, W# J2 U$ a" [3 }# a4 ` |
11.1运行
) K3 H( g! | Z& `) @11.2分析
+ p2 f. S% k9 }& f1 k11.2.1目标(1):去除消息框
5 ?) b: S, d P9 g* P" _1 @, M+ u11.2.2打补丁(1):去除消息框
% | v0 g' n* J% u% m11.2.3目标(2):查找注册码 : e+ j' `$ r: U
11.3小结 7 j+ k$ \. [( d' C" H
9 L0 P4 v9 d; M, m' ?' {第12章 究竟应当如何学习代码逆向分析
. d( b" | k* N0 D& J3 l: [# A7 I: l p( ~8 G
12.1逆向工程 # @( A Y) G( H& U' l; e$ [
12.1.1任何学习都应当有目标
& z0 H H( R$ r12.1.2拥有积极心态
/ o, ~- a9 p$ V) ]3 i4 ^7 u12.1.3要感受其中的乐趣
3 F3 V, f5 s5 I+ r6 r12.1.4让检索成为日常生活的一部分
# z3 j5 @5 {7 H+ E3 D- Q4 H( T( q12.1.5最重要的是实践 # n' p! }0 t5 K+ z4 H( T) u
12.1.6请保持平和的心态9 H/ |% g p' g
0 u8 `1 {4 O C* J4 `3 p第二部分 PE文件格式 ' e* r" V* O- i; e
- A* g, P3 A' h9 G A第13章 PE文件格式
. ^! o; Y% x- m. m 0 {# E6 Y8 H* S# h
13.1介绍 7 M) u7 r7 S7 ?. ?8 v- W, P
13.2PE文件格式 + H. a0 E& D8 W# k& h# s
13.2.1基本结构 " j1 V% v) f7 l& S+ u
13.2.2VA&RVA 9 Z" A# |/ u2 D( I2 [
13.3PE头
v9 W/ q- a; W; m13.3.1DOS头
/ T' u( \! |; c6 J/ M13.3.2DOS存根 5 W& h& T1 @0 D% ]# r- y
13.3.3NT头
. m/ N! ^2 }3 Y, Y13.3.4NT头:文件头
3 U# e2 ^5 [) e7 q: y% z" o13.3.5NT头:可选头 & o1 ?1 f$ Q& k& V0 Q0 l
13.3.6节区头
5 c) v) H, c$ z r13.4RVAtoRAW
9 p1 a! Y) ~1 z* L13.5IAT
; w8 f: {) B: [) w# Z$ T13.5.1DLL
( \4 \' O' G5 L) H( }$ V1 |13.5.2IMAGE_IMPORT_DESCRIPTOR
1 y' V( E# Y1 V) Q13.5.3使用notepad.exe练习
2 ?- s+ M+ r9 n) E" t13.6EAT 4 ?- a- g; s- |( I
13.6.1IMAGE_EXPORT_DIRECTORY
* k/ J3 ?6 p* _0 d% O9 y13.6.2使用keme132.dll练习 7 |/ P G' X M( |
13.7高级PE - I9 W* x7 |$ J1 G2 F( r
13.7.1PEview.exe ) Y V" F x& v b. t
13.7.2PatChedPE / @4 W3 {$ K5 K: k6 |
13.8小结
, ? V' J4 U, X+ n- ]1 G3 G
; Z9 [* M z7 ~( C第14章 运行时压缩
, s- d% `; f/ ?: I7 a( a5 V9 n& B; R7 T
14.1数据压缩
M- n' N) A' Q+ G! V( N0 f14.1.1无损压缩
$ d9 J: a. Z% K- G4 @* e+ w% F, Q; _14.1.2有损压缩 0 |5 ?& K5 H3 ~# D( Z" F* t
14.2运行时压缩器 ! W. i$ ^ `& B# ?7 X1 d% U
14.2.1压缩器 ; k, B& u f" E5 o3 n% `9 N/ A
14.2.2保护器 2 u' j, U5 T: k2 H2 q# D/ g
14.3运行时压缩测试 ; }3 P* T/ m1 a: N" y
3 ?" x* k! D# B9 G: ]
第15章 调试UPX压缩的notepad程序
& ^ d. _% v& b! s
1 |0 i7 B5 U( M8 I7 Y15.1notepad.exe的EP代码
, a1 V2 @7 ~4 ?* c15.2notepad_upx.exe的EP代码
& ^. J6 R0 t# m# O15.3跟踪UPX文件
7 F c+ E M3 w) V! S15.3.10llyDbg的跟踪命令 : O. q5 t0 v/ M. |/ B
15.3.2循环#1
" m% E) m4 S2 }( L, _15.3.3循环#2 5 m% ~, S. ~# h
15.3.4循环#3 3 z0 r( t; Q e$ Z
15.3.5循环#4 / w/ N6 s# _# P
15.4快速查找UPXOEP的方法 E% ?+ e4 Y: ?2 [# V: l" m% X' ~2 ~
15.4.1在POPAD指令后的JMP指令处设置断点
3 _7 Y0 t7 A) y; A2 \. `6 \15.4.2在栈中设置硬件断点
6 S+ B% v0 D% L* y15.5小结
- S/ ~! z' a0 S: L
0 T* I2 D+ L! g, H; ?0 E第16章 基址重定位表
: s1 e$ s. ^" Z6 X+ X A& G' ~ u z; v9 h- }7 O& u/ k9 w
16.1PE重定位
$ B* V' P2 I2 R6 e6 p O6 r2 W! t16.1.1DLI/SYS
0 I8 e; S% Q0 y* c% e$ |# Z16.1.2EXE - W' k! T" S: _2 W6 D7 l
16.2PE重定位时执行的操作
! M1 w$ A5 ~ N% h3 C5 l( _16.3PE重定位操作原理
* ]4 N; j7 O: m0 e' M16.3.1基址重定位表 8 p$ S( l6 a& r
16.3.2IMAGE_BASE_RELOCATION结构体 ) @% K {6 j0 a7 e' C7 w
16.3.3基址重定位表的分析方法 + ]$ }2 C. Z4 a
16.3.4练习
" o1 b8 E: ~' R( i3 C( i
9 ^! e$ d) U" V2 ^5 b第17章 从可执行文件中删除.reloc节区8 B; N9 b: ^* E& J
6 G* b- [/ q% n. }4 g17.1.reloc节区 $ j+ a1 O, w1 x% F" M) I
17.2reloc.exe * z; w. I; }- _4 |/ ?: ^5 R
17.2.1删除.reloc节区头 - K2 j1 s2 x m W6 r8 ^
17.2.2删除.reloc节区 + _* Y4 l! u1 d6 j
17.2.3修改IMAGE_FILE_HEADER
2 ^- q d+ O6 Q8 Q, T17.2.4修改IMAGE_OPTIONAL_HEADER $ H, f4 {/ j' v& y
17.3小结
& p/ z3 Q Z3 G+ D7 @1 l
# \3 i: r% M3 S2 r+ G第18章 UPackPE文件头详细分析9 g: J' _; A( k d& g1 z; \$ F
6 H( C" S' n2 T' R4 m( H18.1UPack说明 ) W* m+ c- t5 X/ k( k5 W
18.2使用UPack压缩not印ad.exe
" a: C' U8 L0 m1 U% i; b1 o18.3使用StudPE工具
J' c5 K- b1 \( ^5 {5 H0 n18.4比较PE文件头 1 j' q3 R P6 a
18.4.1原notepad.exe的PE文件头
/ J, w+ ^$ w4 C7 S* I( g2 l |18.4.2notepad_upack.exe运行时压缩的PE文件头 9 T& y: G# h& }7 h
18.5分析UPack的PE文件头 / S3 V" k! b0 x5 y% U1 b. H% e4 p5 K
18.5.1重叠文件头
. V; i+ ] a# u! L' t- c9 B: Z18.5.2IMAGE_FILE_HEADER.Size Of Optional Header ( r! P- b8 i5 T% o8 u4 @
18.5.3IMAGE_OPTIONAL_HEADER.Number Of—Rva And Sizes 2 W: o+ }5 X0 r, ~* b3 K
18.5.4IMAGE_SECTION_HEADER
& k# T/ H1 i2 F% g. I% `, G18.5.5重叠节区 . t' d! z" z. X7 J
18.5.6RVA to RAW
. H2 U/ Q( f2 I# ^18.5.7导入表(IMAGE_IMPORT_DESCRIPTORarray) ; a( e3 W, A; a F, ~; [
18.5.8导入地址表 Q/ I8 o2 }$ J/ [5 G
18.6小结
7 c( \1 z" `+ D( K% ]: h) ~& E ' o# a( t) F' e2 c6 c% E/ n5 {- c2 p
第19章 UPack调试—查找OEP & q& d+ w; D* K6 H, x! h: O
! [7 |9 m- U7 }$ K
19.1ollyDbg运行错误 ' t4 ~' w* Z9 s% y1 C4 p8 c
19.2解码循环
. H, F; x; g( m% y1 P" O9 M6 n19.3设置IAT
; i. F, L& x% n! Z19.4小结" U1 A: g1 Z$ L
! D1 Q7 c6 ?9 A) ^1 c第20章 “内嵌补丁”练习
4 D1 b" L: s/ Y1 ~' z
, H* c" x) S1 M+ M/ B20.1内嵌补丁
, E2 o: D9 \+ p8 `* e20.2练习:Patchme - Z7 i% R. d* c2 U
20.3调试:查看代码流
+ z z6 J2 V6 `5 k5 v+ y: |% ~7 x20.4代码结构 ' W, ?0 ^. l+ V$ d3 P
20.5“内嵌补丁”练习
. L g# a9 c! D. g/ W20.5.1补丁代码要设置在何处呢
$ p& k% }8 H' x0 |5 T4 C' y20.5.2制作补丁代码 9 ~3 q- `' ^+ r! H6 s- L
20.5.3执行补丁代码
8 ]4 @3 j1 h. K; \( N! M" G" x20.5.4结果确认
$ Q( ?" I8 G) v8 k - u6 l i7 ?( c& Y) |; Z
第三部分DLL注入
/ s; \) V$ P0 z. O" m : j2 A, H9 b8 ]
第21章 Windows消息钩取! U# t# {$ g. y6 }- S5 l
+ g y1 U( y6 K8 T3 v K211钩子 . O+ b: _% a4 f4 a
21.2消息钩子 ! _: ~+ d* j. w/ Q
21.3SetWindowsHookEx() $ M& ?) h7 _6 Y+ f: o
21.4键盘消息钩取练习 , [0 V; L! \% O9 M
21.4.1练习示例HookMain.exe : @+ h- B, `, u6 H9 w
21.4.2分析源代码 % v% l/ {$ S; C) f9 [
21.5调试练习
2 v$ }5 `% o$ z$ a% s21.5.1调试HookMain.exe . V K# R6 {; V1 e' v1 ~5 r3 Z
21.5.2调试Notepad.exe进程内的KeyHook.dll / R) b, H' l* y* I
21.6小结
: F/ S1 O$ m3 h$ p, K+ d ' H2 W# w3 t4 g `; }# W
第22章 恶意键盘记录器
5 e, q, T. O/ b9 l
# w. A! d! f& D _$ d4 I1 Y22.1恶意键盘记录器的目标
4 p% M" ], K5 H& S7 E6 J22.1.1在线游戏 0 c8 ~. ?0 e6 e4 `: O
22.1.2网上银行 : Z' G; v# X, _
22.1.3商业机密泄露
7 c- C8 K" n- {1 D22.2键盘记录器的种类与发展趋势
* @9 N# ?- ]' Y5 e% ?5 W22.3防范恶意键盘记录器
- w1 v7 {0 {3 a a( @9 V22.4个人信息
+ l7 j6 m& e6 l$ v* s
3 Q7 A; }: n; \ v1 Y- ?第23章 DLL注入
: B8 b1 Z, {" _3 N) m T, Y: M% z# n/ i" w& \9 v8 r! b' C
23.1DLL注入
" W6 T: N/ a m. p( d; u4 w* }23.2DLL注入示例 ! `4 V* |# U4 `9 ~/ n
23.2.1改善功能与修复Bug % R8 r; f8 T& |( g5 l1 Y0 R. ?
23.2.2消息钩取 & W$ G7 O2 a( H/ `% x; ?/ D( v
23.2.3API钩取
, o+ d6 { v3 ^2 g* V5 U23.2.4其他应用程序 8 a- P3 b! I. p
23.2.5恶意代码
9 E, e# Z- U1 o6 _3 n0 v# x23.3DLL注入的实现方法
2 P6 S( ^0 v; z, `3 I$ h4 m23.4CreateRemoteThread()
6 a$ }7 L& f2 K" k) C- R# i+ l% {7 Y23.4.1练习示例myhack.dll 2 ~5 [5 X/ L# A& x; ^
23.4.2分析示例源代码
$ t {6 E4 Y; p8 O T1 Q5 D23.4.3调试方法
2 q$ q* I3 n0 V& W9 n23.5AppInit_DLLs 8 y7 ^' J0 ]4 ]3 E% n
23.5.1分析示例源码 7 \; U# l$ G: n& r
23.5.2练习示例myhack2.dll
, Y5 l9 |2 _ U3 _6 N% r23.6SetWindowsHookEx()—————
9 `# z( v9 v* p23.7小结* S+ ?( @# R) A8 c6 u
: N. Q7 J$ P- q8 W$ e& D' W9 U
第24章 DLL卸载
! ^$ _& s# o5 `) W0 D$ B; p4 d! s5 s: \$ K$ ^
24.1DLL卸载的工作原理
( h2 d2 j& A1 @6 [2 L' k' f24.2实现DLL卸载
S8 X# Z4 d; f5 |; w2 j4 g24.2.1获取进程中加载的DLL信息
; h1 G! [, O; ?- c24.2.2获取目标进程的句柄 1 E U" j2 c8 M$ l. B5 ?
24.2.3获取FreeLibrary()API地址 # P4 @! f; ^$ l# o4 J
24.2.4在目标进程中运行线程 ; h$ }% T* l! W+ h& ` y/ o) q. r
24.3.DLL卸载练习
4 n( E# S D0 f, P n6 O% k: k M. a24.3.1复制文件及运行notepad.exe 5 ^9 }% A1 e9 y, \
24.3.2注入myhack.dll
# s# ?& m* ~3 g6 B4 |24.3.3卸载myhack.dll
" K/ W2 Q2 V* C) ~( Q b1 o& z5 I
第25章 通过修改PE加载DLL 7 ]) z4 M: S `3 Z( B* `
0 \$ k' J8 C) I2 E! ~
25.1练习文件 6 `0 a1 Z/ d# d
25.1.1TextView.exe : Y6 s: c* O; @# e1 A! a
25.1.2TextView_patched.exe
0 H/ P, d( |- [! o4 j25.2源代码—myhack3.cpp
" A4 p& J! p8 X25.2.1DllMain() 5 O5 H7 s6 W5 k" o' w
25.2.2DownloadURL() 9 y5 _, Z3 B ~3 { L0 V$ w
25.2.3DropFile() % V4 h6 {% ]% F1 U: P
25.2.4dummy()
9 k9 i2 g/ K# |, N# N. b7 {6 P# q8 S* O25.3修改TextView.exe文件的准备工作
! j6 x3 Y( c. v5 v2 i25.3.1修改思路
$ A. p! [; h- u' J25.3.2查看IDT是否有足够空间
; V/ S: {, S9 o+ i/ C9 v+ h7 e: _& N ?25.3.3移动IDT
, y( K$ M+ {' V) Q/ ~& ]* ^25.4修改TextView.exe * u; p& |4 L! b: F% c7 O" X! a
25.4.1修改导入表的RVA值
t! O6 g% Y0 C- e. p25.4.2删除绑定导入表
/ G- u& V- {. ^9 f# ~ Z: C- b25.4.3创建新IDT $ n6 Z; U& n( n8 \, w* g
25.4.4设置Name.INT.IAT : n& J0 d' W: p/ Y
25.4.5修改IAT节区的属性值 . R; A+ Q$ u. t) K g
25.5检测验证 - d/ \3 Z+ F# k9 Y$ z
25.6小结 % C/ j# C$ X; b2 T3 O
: i7 k a& z+ ~
第26章 PETools
) u0 }: n* K/ V- j
% [3 i( ~, ]! B* B' ^' a26.1PETools
$ i8 f& B3 i# Y* b: l+ o, m7 ]26.1.1进程内存转储 * q$ y2 b, w( }9 v
26.1.2PE编辑器
. r& F4 g3 O. h: _26.2小结 0 f" a6 @, j2 {- {
, h! H7 G) l! g7 _, {4 A0 D第27章 代码注入 , ?" D5 z. M' |0 W; F
2 ~" x9 }2 D8 [/ l5 I. q/ `% v
27.1代码注入
6 f- C5 ]0 ]: q1 K/ z27.2DLL注入与代码注入
/ m& C' O4 M- J' w9 ^. `. H+ B27.3练习示例 ! T S6 }1 g' X
27.3.1运行notepad.exe
: V, T: U" S0 U& T8 s27.3.2运行Codelnjection.exe / \$ s2 S0 P7 z8 @/ e- W* t
27.3.3弹出消息框 " v9 e* q# q, m4 W# L- A$ f! V
27.4Codelnjection.cpp " B5 O$ B4 [; }* G
27.4.1main()函数
: e# Z8 `0 {' ^0 p! Q0 @+ B) M27.4.2ThreadProc()函数 n1 N' b9 J) F- f
27.4.3InjectCode()函数 . P8 R. f9 ~; U6 I* R3 ]4 g
27.5代码注入调试练习 + q; L6 L$ J7 R' y$ Q5 }6 \
27.5.1调试notepad.exe 2 K- K. T; q: a/ K9 L
27.5.2设置OllyDbg选项
) ?7 J" Q& g% L k5 [27.5.3运行Codelnjection.exe ; p( _' C2 F0 i) a5 N( V- B" O
27.5.4线程开始代码 ' k/ G# f) h; |! v
27.6小结 8 ?2 H+ O, w, d7 S; O2 F" V
+ v$ h& d! }, f9 d% b
第28章 使用汇编语言编写注入代码
: q L9 e, L1 e$ x# b/ R2 n% A7 ?' S
* a9 Y6 V$ Z8 F4 k3 L! S28.1目标 / H( A3 Q3 [- G, G, ~
28.2汇编编程 & G5 i% i" B8 P- W8 Q4 I
28.3OllyDbg的汇编命令
( Z! m8 l2 C5 P3 h5 G6 ^28.3.1编写ThreadProc()函数
$ e3 M# V, y, a, p u28.3.2保存文件
+ k( p# p, ?! Q- ^7 g1 l P28.4编写代码注入程序 # B! c& q& U3 a+ o1 m# I& V9 ]
28.4.1获取ThreadProc()函数的二进制代码
; R& T/ `3 A- Q7 h28.4.2Codelnjection2.cpp - u0 E7 Z; g# v" L& ^- y. H- c. p. J
28.5调试练习 % H8 O: U. G% J. b; J
28.5.1调试notepad.exe
0 r: |; J0 ]3 {28.5.2设置OllyDbg选项 & e/ p) {, L3 M3 `
28.5.3运行Codelnjection2.exe / L. p0 y# j5 m2 P3 C% T* j
28.5.4线程起始代码
: J" p2 z& f& m# L* p8 a% h1 k28.6详细分析 ( h& u/ k$ o* m4 W8 d
28.6.1生成栈帧 / |! j' p4 m2 J5 A8 }) L7 N- {9 v# Q
28.6.2THREAD_PARAM结构体指针 - K6 L% t) X+ C& ^5 g) v
28.6.3"User32.dll"字符串 ( w5 i! g O2 ^8 q; W
28.6.4压入"user32.dll"字符串参数 ! H3 @ w# }* A
28.6.5调用LoadLibraryA("user32.dll")
; S) ^% G4 q8 m) g28.6.6"MessageBoxA"字符串 , G6 e9 l/ q0 {8 x) Y
28.6.7调用GetProcAddress(hMod,"MessageBoxA")
# j& _+ N" ?- H) I* [28.6.8压入MessageBoxA()函数的参数1—MB_OK
7 q/ w5 ?. z3 z1 \( c: J" z3 X+ h28.6.9压入MessageBoxA()函数的参数2—"ReverseCore"
7 t) P1 M) v; F3 T28.6.10压入MessageBoxA()函数的参数3—"www.reversecore.com" h5 r5 R* E- i" y
28.6.11压入MessageBoxA()函数的参数4—NULL
/ t6 n- a. V" y$ e5 R( p28.6.12调用MessageBoxA() & y4 g4 X H* A; g" U
28.6.13设置ThreadProc()函数的返回值 ( Q- H% g6 \& J$ X. j: |
28.6.14删除栈帧及函数返回 , M. _( u1 A. L
28.7小结
" e, N; s' t9 e2 i' {$ |$ t0 p* e( \5 T5 S% n9 K9 F# B8 B& b
……
+ D7 \/ v5 a6 M0 `5 I$ h9 W# V" L- w$ B- C3 [# {
第四部分 API钩取
9 F' b6 [, r8 w7 i2 A6 [
* D. }/ u! W4 A* c4 N2 m w3 [第五部分 64位&Windows内核6
5 L% D2 W8 Q( P" d" {( l7 ^: \4 B) e
5 p `1 t3 ~$ U; d第六部分 高级逆向分析技术
* G( ?7 w/ P4 r5 E# K
% `* s8 w( N- B( p( t: E第七部分 反调试技术
' r4 I4 ?. n1 f! } K
) f# b$ y# B& E" e! Y6 I3 ?第八部分 调试练习 & Y0 z* b$ q; `, d" k) e* u
" I: T' R) T3 |1 Q! g结束语 3 a9 l' U' X6 B0 `( J
, m' `# _0 f( {+ \
索引
4 g8 a) u8 {+ P1 N) s, ~2 K8 Q% ~& H: p
|
|
( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)
狗仔卡
发表于 2016-11-12 17:22:37
置顶卡
千斤顶
显身卡
发表于 2016-11-21 17:01:30
发表于 2016-11-21 17:13:16
