• Reversing:逆向工程揭密

    第三卷************** 不错的PDF电子书,共3个分卷,点我名字可以找全 第1部分 逆向101 第1章 基础 3 1.1 什么是逆向工程 3 1.2 软件逆向工程:逆向 4 1.3 逆向应用 4 1.3.1 与安全相关的逆向 5 1.3.2 软件开发中的逆向 8 1.4 底层软件 9 1.4.1 汇编语言 10 1.4.2 编译器 11 1.4.3 虚拟机和字节码 12 1.4.4 操作系统 13 1.5 逆向过程 13 1.5.1 系统级逆向 14 1.5.2 代码级逆向 14 1.6 工具 14 1.6.1 系统监控工具 15 1.6.2 反汇编器 15 1.6.3 调试器 15 1.6.4 反编译器 16 1.7 逆向合法吗? 17 1.7.1 互操作性 17 1.7.2 竞争 18 1.7.3 版权法 19 1.7.4 商业机密和专利权 20 1.7.5 美国数字千禧版权法 20 1.7.6 DMCA案例 22 1.7.7 许可证协议 23 1.8 代码范例与工具 23 1.9 结论 23 第2章 底层软件 25 2.1 高阶视角 26 2.1.1 程序结构 26 2.1.2 数据管理 29 2.1.3 控制流 32 2.1.4 高级语言 33 2.2 低阶视角 37 2.2.1 底层数据管理 37 2.2.2 控制流 43 2.3 汇编语言101 44 2.3.1 寄存器 44 2.3.2 标志位 46 2.3.3 指令格式 47 2.3.4 基本指令 48 2.3.5 范例 52 2.4 编译器和编译入门 53 2.4.1 定义编译器 54 2.4.2 编译器架构 55 2.4.3 列表文件 58 2.4.4 专用编译器 59 2.5 执行环境 60 2.5.1 软件执行环境(虚拟机) 60 2.5.2 现代处理器的硬件执行环境 63 2.6 结论 68 第3章 Windows基础知识 69 3.1 组件及基本架构 70 3.1.1 简要回顾 70 3.1.2 特征 70 3.1.3 支持的硬件 71 3.2 内存管理 71 3.2.1 虚拟内存和分页 72 3.2.2 工作集 74 3.2.3 内核内存和用户内存 74 3.2.4 内核内存空间 75 3.2.5 区段对象 77 3.2.6 VAD树 78 3.2.7 用户模式的内存分配 78 3.2.8 内存管理API 79 3.3 对象与句柄 80 命名对象 81 3.4 进程与线程 83 3.4.1 进程 84 3.4.2 线程 84 3.4.3 运行状态切换 85 3.4.4 同步对象 86 3.4.5 进程初始化顺序 87 3.5 应用程序编程接口 88 3.5.1 Win32 API 88 3.5.2 本地API 90 3.5.3 系统调用机制 91 3.6 可执行文件格式 93 3.6.1 基本概念 93 3.6.2 映像区段(Image Sections) 95 3.6.3 区段对齐(Section Alignment) 95 3.6.4 动态链接库 96 3.6.5 头部 97 3.6.6 导入与导出 99 3.6.7 目录 99 3.7 输入与输出 103 3.7.1 I/O系统 103 3.7.2 Win32子系统 104 3.8 结构化异常处理 105 3.9 结论 107 第4章 逆向工具 109 4.1 不同的逆向方法 110 4.1.1 离线代码分析 110 4.1.2 现场代码分析 110 4.2 反汇编器——ILDasm 110 4.3 调试器 116 4.3.1 用户模式调试器 118 4.3.2 内核模式调试器 122 4.4 反编译器 129 4.5 系统监控工具 129 4.6 修补工具 131 Hex Workshop 131 4.7 其他类型的逆向工具 133 可执行程序转储工具 133 4.8 结论 138 第2部分 应用逆向 第5章 未公开的技术 141 5.1 逆向和互操作性 142 5.2 基本原则 142 5.3 定位未公开的API函数 143 我们要找什么? 144 5.4 案例研究:NTDLL.DLL中的 5.4 Generic Table API 145 5.4.1 RtlInitializeGenericTable 146 5.4.2 RtlNumberGenericTableElements 151 5.4.3 RtlIsGenericTableEmpty 152 5.4.4 RtlGetElementGenericTable 153 5.4.5 RtlInsertElementGenericTable 168 5.4.6 RtlLookupElementGenericTable 188 5.4.7 RtlDeleteElementGenericTable 193 5.4.8 思路整理 194 5.5 结论 196 第6章 破译文件格式 199 6.1 Cryptex 200 6.2 使用Cryptex 201 6.3 逆向Cryptex 202 6.4 口令校验过程 207 6.4.1 捕获“Bad Password”消息 207 6.4.2 口令变换算法 210 6.4.3 对口令作hash处理 213 6.5 目录结构 218 6.5.1 分析目录处理代码 218 6.5.2 分析文件项 223 6.6 转储目录结构 227 6.7 文件提取过程 228 6.7.1 扫描文件列表 234 6.7.2 解密文件 235 6.7.3 浮点运算代码 236 6.7.4 解密循环 238 6.7.5 验证Hash值 239 6.8 要点总结 239 6.9 进一步讨论 241 6.10 结论 242 第7章 审查程序的二进制码 243 7.1 定义问题 243 7.2 漏洞 245 7.2.1 堆栈溢出 245 7.2.2 堆溢出 255 7.2.3 字符串过滤程序 256 7.2.4 整数溢出 256 7.2.5 类型转换错误 260 7.3 案例研究:IIS索引服务漏洞 262 7.3.1 CVariableSet:: 7.3.1 AddExtensionControlBlock 263 7.3.2 DecodeURLEscapes 267 7.4 结论 271 第8章 逆向恶意软件 273 8.1 恶意软件的分类 274 8.1.1 病毒 274 8.1.2 蠕虫 274 8.1.3 特洛伊木马 275 8.1.4 后门 276 8.1.5 移动代码 276 8.1.6 广告软件和间谍软件 276 8.2 粘人的软件(Sticky 8.2 Software) 277 8.3 未来的恶意软件 278 8.3.1 盗取信息的蠕虫 278 8.3.2 BIOS/固件恶意软件 279 8.4 恶意软件的使用 280 8.5 恶意软件的弱点 281 8.6 多态 282 8.7 变形 283 8.8 建立安全的环境 285 8.9 Backdoor.Hacarmy.D 285 8.9.1 脱壳可执行文件 286 8.9.2 初次印象 290 8.9.3 初次安装 291 8.9.4 初始化通信设置 294 8.9.5 连接到服务器 296 8.9.6 连接信道 298 8.9.7 与后门进行通信 299 8.9.8 运行SOCK4服务器 303 8.9.9 清理犯罪现场 303 8.10 The Backdoor.Hacarmy.D: 8.10 命令参考 304 8.11 结论 306 第3部分 破解 第9章 盗版与拷贝保护 309 9.1 世界中的版权 309 9.2 社会方面 310 9.3 软件盗版 310 9.3.1 明确问题 311 9.3.2 群破解 312 9.3.3 需求 313 9.3.4 理论上不可破解的模型 314 9.4 各种类型的保护 314 9.4.1 基于介质的保护 314 9.4.2 序列号 315 9.4.3 质询响应和在线激活 315 9.4.4 基于硬件的保护 316 9.4.5 软件即服务 317 9.5 高级保护的概念 318 加密处理器 318 9.6 数字版权管理 319 数字版权管理模型 320 9.7 加水印 321 9.8 可信计算 322 9.9 破解拷贝保护技术 324 9.10 结论 324 第10章 反逆向技术 327 10.1 为什么要反逆向? 327 10.2 反逆向的基本方法 328 10.3 消除符号信息 329 10.4 代码加密 330 10.5 活跃的反调试器技术 331 10.5.1 调试器基础 331 10.5.2 API函数IsDebuggerPresent 332 10.5.3 SystemKernelDebugger 10.5.3 Information 333 10.5.4 用单步中断检测SoftICE 334 10.5.5 陷阱标志 335 10.5.6 代码校验和 335 10.6 迷惑反汇编器 336 10.6.1 线性扫描反汇编器 337 10.6.2 递归遍历反汇编器 338 10.6.3 应用 343 10.7 代码混淆 344 10.8 控制流变换 346 10.8.1 暗晦谓词 346 10.8.2 迷惑反编译器 348 10.8.3 表译码 348 10.8.4 内联和外联 353 10.8.5 交叉代码 354 10.8.6 次序变换 355 10.9 数据变换 355 10.9.1 修改变量编码 355 10.9.2 重构数组 356 10.10 结论 356 第11章 突破保护 357 11.1 修补程序(Patching) 358 11.2 生成密钥 364 11.3 取密钥生成算法 365 11.4 高级破解:Defender 370 11.4.1 逆向Defender的初始化程序 377 11.4.2 分析解密后的代码 387 11.4.3 SoftICE的消失 396 11.4.4 逆向分析第二个线程 396 11.4.5 击败“杀手(Killer)”线程 399 11.4.6 加载KERNEL32.DLL 400 11.4.7 再加密函数 401 11.4.8 回到入口点 402 11.4.9 解析程序的参数 404 11.4.10 处理用户名 406 11.4.11 验证用户信息 407 11.4.12 解密代码 409 11.4.13 暴力破解Defender 409 11.5 Defender中的保护技术 415 11.5.1 局部化的函数级加密 415 11.5.2 混淆应用程序与操作系统 11.5.2 之间的接口 416 11.5.3 处理器时间戳验证线程 417 11.5.4 在运行时生成解密密钥 418 11.5.5 重度内联 419 11.6 结论 419 第4部分 反汇编之外 第12章 逆向.NET 423 12.1 基本原则 424 12.2 .NET基础 426 12.2.1 托管代码 426 12.2.2 .NET程序设计语言 428 12.2.3 通用类型系统 428 12.3 中间语言 429 12.3.1 求值堆栈 430 12.3.2 活动记录 430 12.3.3 IL指令 430 12.3.4 代码实例 433 12.4 反编译器 443 12.5 混淆器 444 12.5.1 重命名符号 444 12.5.2 控制流混淆 444 12.5.3 中断反编译与中断反汇编 444 12.6 逆向混淆代码 445 12.6.1 XenoCode混淆器 446 12.6.2 DotFuscator by Preemptive 12.6.2 Solutions 448 12.6.3 Remotesoft 混淆器与连接器 451 12.6.4 Remotesoft Protector 452 12.6.5 预编译的汇编程序 453 12.6.6 加密的汇编程序 453 12.7 结论 455 第13章 反编译 457 13.1 本地代码的反编译:是一个 13.1 解决不了的问题吗? 457 13.2 典型的反编译器架构 459 13.3 中间表示 459 13.3.1 表达式和表达式树 461 13.3.2 控制流图 462 13.4 前端 463 13.4.1 语义分析 463 13.4.2 生成控制流图 464 13.5 代码分析 466 13.5.1 数据流分析 466 13.5.2 类型分析 472 13.5.3 控制流分析 475 13.5.4 查找库函数 475 13.6 反编译器后端 476 13.7 Real-World IA-32反编译 477 13.8 结论 477 附录A 揭密代码结构 479 附录B 理解编译后的算术运算 519 附录C 破译程序数据 537 索引 561 译 者 序 记得第一次做与逆向有关的工作是2000年,当时由于项目的需要,做过一个钩子(hook)程序,用于截获一个第三方控件发出的消息,但是当时还不知道什么是逆向工程。第一次看到“逆向工程”这个词是在2001年的《机械工程学报》上的一篇文章中,主要是讲用三坐标测量仪测量产品中各个部件的三维尺寸并在计算机中快速建模、进而反推其设计思想和基本设计原则。第一次使用逆向工程工具也是在2001年,当时从网上下载了Numega SoftICE,具体哪个版本已经记不清了,在家里的旧电脑上折腾了好几天,直到系统崩溃才罢手。 之后呢,只是零零星星地看过一些相关的资料。因此,当初电子工业出版社和我联系此书的翻译时,我有些犹豫——近600页的逆向工程“巨”著,而且该书无论从深度还是广度上都较其他有关逆向工程的书更胜一筹。但褚华博士和王玉英博士的“加盟”,让我心里踏实了许多,她俩做过系统的逆向工程和程序理解的研究工作,也发表过不少相关的研究论文。 逆向工程这一术语最早来源于机械工程领域(我的老本行)。随着软件业的发展,逆向工程被引入软件工程领域。对于软件逆向工程,IEEE软件工程技术委员会行政秘书E. J. Chikofsky和J. H. Cross在他们的文章中给出了如下定义:软件逆向工程是分析目标系统,认定系统的组件及其交互关系,并且通过高层抽象或其他的形式来展现目标系统的过程。 经过十几年的发展,软件逆向工程领域已有不少研究成果和商业化的产品;但是软件逆向工程仍然算不上成熟,这主要表现在对理论和实践的研究都还处于早期的探究阶段,并未形成统一的、系统的、科学的软件逆向工程的理论和方法。从工程实际的角度来看,大体上可以将软件逆向工程分为两大类: 第一类是从已知软件系统的完整代码出发,生成对应系统的结构以及相关设计原理和算法思想的文档。实际上,学习和研究别人的源代码就属于此类。Chikofsky在本书的序中特别指出:阅读别人写的代码或者自己以前写的代码实际上也是逆向工程在起作用。 第二类是从没有源代码的程序出发,生成对应的源程序、系统结构以及相关设计原理和算法思想的文档等,亦即本书重点讨论的二进制逆向工程。 本书共有13章和三个附录,涵盖了逆向工程的基础知识、应用、开发和拓展的方方面面问题。其中第5章、第9章和附录A、B、C由韩琪翻译,第3章、第11章和第13章由杨艳翻译,第7章、第8章和第10章由王玉英翻译,第4章和第6章由李娜翻译,第1章由褚华翻译,第2章由陈贵敏翻译,第12章由辛健斌翻译;全部译稿的校对由陈贵敏和褚华完成。所有的翻译和校对工作历时半年多,在此,我要感谢为本书的出版付出辛勤汗水的电子工业出版社博文视点的工作人员,特别要感谢本书的策划编辑朱沭红老师和责任编辑顾慧芳老师,她们的严谨认真工作使该译本可读性更高,她们的鼓励更使我信心百倍。 由于译者水平所限,加之时间仓促,译文中肯定存在错误和疏漏,敬请读者批评指正。我的E-mail:efoxxx@126.com。 陈贵敏 2007年5月于西安电子科技大学 简 介 欢迎你阅读《逆向:逆向工程揭密》一书。本书是在我参与了多年的软件开发项目之后写的,这些项目由于各种各样的原因需要反复地对第三方代码进行逆向工程。起初,我觉得这是一个非常单调乏味的过程,只是在没有替代方法来获取信息的情况下才不得已使用它。后来,一霎那间我破除了某个思维障碍,我发现自己迅速地“驰骋”于无正式文献记录的机器码中,快速地破译了代码的涵义并得到我想要的有关代码功能和用途的答案。这时候,我逐渐明白这是一种威力强大的技术,因为这意味着不管我有什么样的有关要处理软件的问题,我都可以非常容易地找到答案,即使我没有看过任何相关的文献资料或者正在处理的程序的源代码。本书就是要为每一个对软件有深刻理解的读者能够这样做提供相关的知识和技术。 其思想很简单:我们应当对底层软件有深入的理解,还要学习那些能够让我们轻松进入任何程序的二进制码并获取信息的技术。不知道系统为什么会以它那样的工作方式运转而且其他人也不知道答案的话,怎么办?没问题——你完全可以自己深入研究并找到答案。这听起来有点恐怖和不现实,是吗?一点儿也不,我写这本书的目的就是向你讲解并示范平常就可以用于解决各种各样问题的逆向工程技术。 不过我总是急于求成。也许你以前没有接触过软件逆向工程的概念,我在这里先简要介绍一下。 逆向工程和底层软件 在开始进入本书所讨论的各部分内容之前,我们应当正式地介绍一下该书的主题:逆向工程。逆向工程是指将工程制品(比如汽车、喷气发动机或者软件程序)以揭示其最底层的细节(如其设计和架构)的方式进行解构的过程。这与研究自然现象的科学研究有些类似,区别就在于一般没有人会把科学研究看做逆向工程,这仅仅是因为没有人确切地知道自然算不算是工程制品。 对软件而言,逆向工程归结起来就是拿一个既没有源代码又没有准确文献资料的现成程序,尝试恢复出它的设计和实现细节。在某些情况下,可以找到程序的源代码,但是找不到最初的开发人员了。本书所讨论的就是通常所说的二进制逆向工程。二进制逆向工程技术的目标是从没有源代码的程序中提取有价值的信息。在有些情况下可以从程序的二进制代码中恢复出准确的源代码(或者接近高级表示的代码),这会大大简化逆向工作,因为阅读用高级语言写的代码要比阅读低级汇编语言代码容易得多。在其他情况下,我们最终得到的只是用晦涩难懂的汇编语言程序清单。本书将讲述这一过程以及程序为什么这样运行,同时还将详细描述如何在各种不同的环境中破解程序代码。 我决定将这本书取名为“逆向(Reversing)”,这一叫法被许多在线社区用来描述逆向工程。因为你可以把逆向看做是逆向工程的别名,故我将在本书中交换使用这两种叫法。 大多数人在尝试想像从可执行二进制程序中提取有意义的信息的时候会变得有些焦虑,因此,我把这本书的首要任务定为证明这种害怕是没有必要的。二进制逆向工程如果行得通的话,它通常能解决用其他方法解决起来极其困难的问题,而且如果方法得当的话它也没有你想像的那么复杂。 本书主要讨论逆向工程,但事实上书中所讲述的内容要比逆向工程多得多。在软件行业内,逆向工程被频繁地应用于各种场合,本书的主要目标之一就是在讲授逆向工程的同时研究这些领域。 下面简要地列出了本书要讨论的一些主题: , IA-32兼容处理器的汇编语言以及如何阅读编译器生成的汇编语言代码; , 操作系统内幕以及如何对操作系统实施逆向工程; , .NET平台上的逆向工程,包括.NET开发平台的简介及.NET平台汇编语言:MSIL(Microsoft中间语言); , 数据逆向工程:如何破译未公开的文件格式或者网络协议; , 逆向工程的合法性问题:什么情况下是合法的,什么情况下是非法的? , 拷贝保护和数字版权管理技术; , 破解人员是如何应用逆向工程使拷贝保护技术失效的; , 防止人们对代码实施逆向工程的技术并认真尝试评价这些技术的有效性; , 目前恶意程序的基本原理以及如何应用逆向工程研究并清除这样的程序; , 一个真实恶意程序的现场剖析和展示,以及揭示了攻击者是怎样通过程序通信获得被感染系统的控制权的; , 反编译器背后的理论和原则,以及它们对各种低级语言代码进行反编译的有效性。 本书的组织 本书共分四部分。第1部分提供了学习后边部分所需的基础知识,其他三个部分分别讲述了不同的逆向工程情景,并展示了真实的案例研究。每一部分的详细描述如下。 , 第1部分—逆向101:本书是从讨论理解底层软件所需的所有基础知识开始的。你必定能想像到,这几章不可能包含所有相关的知识,你只需将这些内容看作是对以前学过的材料重新整理。如果本书前三章讲述的所有内容或者大部分内容对你来说都是全新的,那么这本书不适合你。这几章的主要内容有:介绍了逆向工程及其各种应用(第1章),底层软件的概念(第2章),并以Microsoft Windows为重点介绍了操作系统内部结构(第3章)。总的来说,如果你精通这些内容以及底层软件,你基本上可以跳过这几章。第4章讨论了各种类型的常用逆向工程工具,并为各种情况推荐了适合的专用工具。这些工具的大部分都在本书展示的逆向工程实例过程中使用过。 , 第2部分——应用逆向:本书的第2部分演示了在真正的软件上实施的逆向工程项目。这部分的每一章分别讨论一种不同类型的逆向工程应用。第5章讨论了最常见的情境——对操作系统或第三方代码库进行逆向工程,以便更好地利用它的内部服务和API。第6章展示了如何应用数据逆向工程技术破解无正式文档记录的专用文件格式。第7章展示了漏洞研究人员如何使用逆向工程技术在二进制代码可执行程序中寻找漏洞。这部分的最后一章,第8章讨论了恶意软件,如病毒和蠕虫,并简要介绍了这一内容。这一章还展示了对真正的恶意程序进行逆向工程的实例过程,这实际上就是恶意软件研究人员为了研究恶意程序、估计它们带来的危险、并研究如何清除它们所必须经历的过程。 , 第3部分——盗版和拷贝保护:这一部分主要讨论与安全相关的代码的逆向工程,如拷贝保护和数字版权管理(Digital Rights Management,DRM)技术。第9章简要介绍了盗版和拷贝保护并讨论了拷贝保护技术的基本原则。第10章讲述了反逆向工程技术,如在拷贝保护和DRM技术中常常采用的技术,并评价它们的有效性。第11章讨论了“破解者”是怎样使用逆向工程破解拷贝保护机制并窃取拷贝保护内容的。 , 第4部分——反汇编之外:本书的最后部分所讲述的内容已经超出了可执行程序的简单反汇编。第12章讨论了在Microsoft .NET开发平台上开发的虚拟机程序的逆向工程过程。这一章简单介绍了.NET平台及其低级的汇编语言MSIL(Microsoft 中间语言,Microsoft Intermediate Language)。第13章论讨论了有关反编译的更理论化的主题,并说明了反编译器是怎样工作的以及反编译本地汇编语言代码为什么那么具有挑战性。 , 附录:本书共包含三个附录,可以作为破解Intel IA-32汇编语言程序的有价值的参考资料。这几个附录远远超出了简单的汇编语言参考向导,讲述了公共代码段(common code fragments)和常用编译器对几种典型的代码序列表现出来的编译器习性(complier idioms),并介绍了识别和破解它们的方法。 谁应当阅读此书 本书所揭示的技术能够让各行各业的人受益。软件开发人员想要提高他们对软件底层知识的理解:如操作系统、汇编语言、编译,等等,这本书无疑会让他们受益匪浅。更重要的是,该书能够让所有对开发技术感兴趣的人们快速而高效地研究和考察现有代码,不管是操作系统代码、软件库代码还是软件组件代码。除了这些技术以外,本书还提供了诸如安全、版权控制等许多主题的精彩讲述。即使对逆向工程不是很感兴趣,只是在书中找到一处或多处感兴趣的内容,你就可能从中获益。 就预修知识而言,本书涉及到一些相当高级的技术材料,我已经试着尽可能让它们在内容上保持独立。所需的大多数基础知识都包含在本书的第1部分中。当然,要想真正从本书中获益,你还得有一定的软件开发知识和经验,这也是很重要的。如果你一点专业的软件开发经验都没有,但是现在正在学习这方面的知识,那也为时不晚。相反地,如果你没有正规地学习过计算机,只做过几年的程序设计,那你也可能从本书中获益。 最后,对于那些已经具有底层软件和逆向工程经验的高级读者而言,他们希望学习一些有趣的高级技术和如何从现有代码中提取非常详细的信息,本书也会对他们有所帮助。 工具和平台 实施逆向工程需要各种各样的工具。本书通篇介绍和讨论了大量这样的工具,而且我有意地在大部分范例中使用免费工具,这样读者就可以照着范例实践而不需要在工具上花费数千美元了。需要指出的是,在某些情况下,大型的逆向工程项目会从这些昂贵的工具中受益匪浅。我试着为每个相关的工具提供尽量多的信息,并展示每个工具对逆向过程的影响。项目是否值得花钱去买工具,最终的决定权还在读者手里。 逆向工程通常是平台相关的,它会受到具体的操作系统和所用的硬件平台的影响。本书中使用的主要操作系统是Microsoft Windows,而且我有很好的理由来说明为什么选择Microsoft Windows。Windows是最流行的逆向工程环境,这不仅仅是因为它是最流行的操作系统。例如,受人欢迎的Windows替代品——开放源码的Linux,准确地讲它与逆向的立场相去甚远,因为整个操作系统以及在其上运行的大部分软件的源代码都是开放的。逆向开发源码的产品是没有意义的——直接读源代码就好了,或者还有更好的办法——咨询原开发者,没有什么秘密可言。 本书网站上有什么 你可以访问本书的网站http://www.wiley.com/go/eeilam,上面有书中所有的示例程序。在网站上我还增加了链向本书讨论过的各种文章、产品以及在线资源的链接。 从哪里开始学习? 本书是按照从开始到结尾顺序阅读的方式写作的。当然,有些人可能更愿意挑选感兴趣的章节阅读,对他们来说这样获益更多。就从哪里开始而言,不考虑你的背景,我建议你先读一下第1章,以确保你了解本书所涉及的所有基本的与逆向工程相关的资料。如果你没有很好的逆向工程和底层软件经验的话,我强烈建议你按照本书的“自然”顺序阅读,最起码前两部分要这样做。 如果你经验丰富,并觉得自己精通软件开发和操作系统的话,或许你可以直接跳到第4章开始学习逆向工程工具。

    5
    823
    18.4MB
    2010-06-21
    50
  • Reversing:逆向工程揭密

    第二卷************** 不错的PDF电子书,共3个分卷,点我名字可以找全 第1部分 逆向101 第1章 基础 3 1.1 什么是逆向工程 3 1.2 软件逆向工程:逆向 4 1.3 逆向应用 4 1.3.1 与安全相关的逆向 5 1.3.2 软件开发中的逆向 8 1.4 底层软件 9 1.4.1 汇编语言 10 1.4.2 编译器 11 1.4.3 虚拟机和字节码 12 1.4.4 操作系统 13 1.5 逆向过程 13 1.5.1 系统级逆向 14 1.5.2 代码级逆向 14 1.6 工具 14 1.6.1 系统监控工具 15 1.6.2 反汇编器 15 1.6.3 调试器 15 1.6.4 反编译器 16 1.7 逆向合法吗? 17 1.7.1 互操作性 17 1.7.2 竞争 18 1.7.3 版权法 19 1.7.4 商业机密和专利权 20 1.7.5 美国数字千禧版权法 20 1.7.6 DMCA案例 22 1.7.7 许可证协议 23 1.8 代码范例与工具 23 1.9 结论 23 第2章 底层软件 25 2.1 高阶视角 26 2.1.1 程序结构 26 2.1.2 数据管理 29 2.1.3 控制流 32 2.1.4 高级语言 33 2.2 低阶视角 37 2.2.1 底层数据管理 37 2.2.2 控制流 43 2.3 汇编语言101 44 2.3.1 寄存器 44 2.3.2 标志位 46 2.3.3 指令格式 47 2.3.4 基本指令 48 2.3.5 范例 52 2.4 编译器和编译入门 53 2.4.1 定义编译器 54 2.4.2 编译器架构 55 2.4.3 列表文件 58 2.4.4 专用编译器 59 2.5 执行环境 60 2.5.1 软件执行环境(虚拟机) 60 2.5.2 现代处理器的硬件执行环境 63 2.6 结论 68 第3章 Windows基础知识 69 3.1 组件及基本架构 70 3.1.1 简要回顾 70 3.1.2 特征 70 3.1.3 支持的硬件 71 3.2 内存管理 71 3.2.1 虚拟内存和分页 72 3.2.2 工作集 74 3.2.3 内核内存和用户内存 74 3.2.4 内核内存空间 75 3.2.5 区段对象 77 3.2.6 VAD树 78 3.2.7 用户模式的内存分配 78 3.2.8 内存管理API 79 3.3 对象与句柄 80 命名对象 81 3.4 进程与线程 83 3.4.1 进程 84 3.4.2 线程 84 3.4.3 运行状态切换 85 3.4.4 同步对象 86 3.4.5 进程初始化顺序 87 3.5 应用程序编程接口 88 3.5.1 Win32 API 88 3.5.2 本地API 90 3.5.3 系统调用机制 91 3.6 可执行文件格式 93 3.6.1 基本概念 93 3.6.2 映像区段(Image Sections) 95 3.6.3 区段对齐(Section Alignment) 95 3.6.4 动态链接库 96 3.6.5 头部 97 3.6.6 导入与导出 99 3.6.7 目录 99 3.7 输入与输出 103 3.7.1 I/O系统 103 3.7.2 Win32子系统 104 3.8 结构化异常处理 105 3.9 结论 107 第4章 逆向工具 109 4.1 不同的逆向方法 110 4.1.1 离线代码分析 110 4.1.2 现场代码分析 110 4.2 反汇编器——ILDasm 110 4.3 调试器 116 4.3.1 用户模式调试器 118 4.3.2 内核模式调试器 122 4.4 反编译器 129 4.5 系统监控工具 129 4.6 修补工具 131 Hex Workshop 131 4.7 其他类型的逆向工具 133 可执行程序转储工具 133 4.8 结论 138 第2部分 应用逆向 第5章 未公开的技术 141 5.1 逆向和互操作性 142 5.2 基本原则 142 5.3 定位未公开的API函数 143 我们要找什么? 144 5.4 案例研究:NTDLL.DLL中的 5.4 Generic Table API 145 5.4.1 RtlInitializeGenericTable 146 5.4.2 RtlNumberGenericTableElements 151 5.4.3 RtlIsGenericTableEmpty 152 5.4.4 RtlGetElementGenericTable 153 5.4.5 RtlInsertElementGenericTable 168 5.4.6 RtlLookupElementGenericTable 188 5.4.7 RtlDeleteElementGenericTable 193 5.4.8 思路整理 194 5.5 结论 196 第6章 破译文件格式 199 6.1 Cryptex 200 6.2 使用Cryptex 201 6.3 逆向Cryptex 202 6.4 口令校验过程 207 6.4.1 捕获“Bad Password”消息 207 6.4.2 口令变换算法 210 6.4.3 对口令作hash处理 213 6.5 目录结构 218 6.5.1 分析目录处理代码 218 6.5.2 分析文件项 223 6.6 转储目录结构 227 6.7 文件提取过程 228 6.7.1 扫描文件列表 234 6.7.2 解密文件 235 6.7.3 浮点运算代码 236 6.7.4 解密循环 238 6.7.5 验证Hash值 239 6.8 要点总结 239 6.9 进一步讨论 241 6.10 结论 242 第7章 审查程序的二进制码 243 7.1 定义问题 243 7.2 漏洞 245 7.2.1 堆栈溢出 245 7.2.2 堆溢出 255 7.2.3 字符串过滤程序 256 7.2.4 整数溢出 256 7.2.5 类型转换错误 260 7.3 案例研究:IIS索引服务漏洞 262 7.3.1 CVariableSet:: 7.3.1 AddExtensionControlBlock 263 7.3.2 DecodeURLEscapes 267 7.4 结论 271 第8章 逆向恶意软件 273 8.1 恶意软件的分类 274 8.1.1 病毒 274 8.1.2 蠕虫 274 8.1.3 特洛伊木马 275 8.1.4 后门 276 8.1.5 移动代码 276 8.1.6 广告软件和间谍软件 276 8.2 粘人的软件(Sticky 8.2 Software) 277 8.3 未来的恶意软件 278 8.3.1 盗取信息的蠕虫 278 8.3.2 BIOS/固件恶意软件 279 8.4 恶意软件的使用 280 8.5 恶意软件的弱点 281 8.6 多态 282 8.7 变形 283 8.8 建立安全的环境 285 8.9 Backdoor.Hacarmy.D 285 8.9.1 脱壳可执行文件 286 8.9.2 初次印象 290 8.9.3 初次安装 291 8.9.4 初始化通信设置 294 8.9.5 连接到服务器 296 8.9.6 连接信道 298 8.9.7 与后门进行通信 299 8.9.8 运行SOCK4服务器 303 8.9.9 清理犯罪现场 303 8.10 The Backdoor.Hacarmy.D: 8.10 命令参考 304 8.11 结论 306 第3部分 破解 第9章 盗版与拷贝保护 309 9.1 世界中的版权 309 9.2 社会方面 310 9.3 软件盗版 310 9.3.1 明确问题 311 9.3.2 群破解 312 9.3.3 需求 313 9.3.4 理论上不可破解的模型 314 9.4 各种类型的保护 314 9.4.1 基于介质的保护 314 9.4.2 序列号 315 9.4.3 质询响应和在线激活 315 9.4.4 基于硬件的保护 316 9.4.5 软件即服务 317 9.5 高级保护的概念 318 加密处理器 318 9.6 数字版权管理 319 数字版权管理模型 320 9.7 加水印 321 9.8 可信计算 322 9.9 破解拷贝保护技术 324 9.10 结论 324 第10章 反逆向技术 327 10.1 为什么要反逆向? 327 10.2 反逆向的基本方法 328 10.3 消除符号信息 329 10.4 代码加密 330 10.5 活跃的反调试器技术 331 10.5.1 调试器基础 331 10.5.2 API函数IsDebuggerPresent 332 10.5.3 SystemKernelDebugger 10.5.3 Information 333 10.5.4 用单步中断检测SoftICE 334 10.5.5 陷阱标志 335 10.5.6 代码校验和 335 10.6 迷惑反汇编器 336 10.6.1 线性扫描反汇编器 337 10.6.2 递归遍历反汇编器 338 10.6.3 应用 343 10.7 代码混淆 344 10.8 控制流变换 346 10.8.1 暗晦谓词 346 10.8.2 迷惑反编译器 348 10.8.3 表译码 348 10.8.4 内联和外联 353 10.8.5 交叉代码 354 10.8.6 次序变换 355 10.9 数据变换 355 10.9.1 修改变量编码 355 10.9.2 重构数组 356 10.10 结论 356 第11章 突破保护 357 11.1 修补程序(Patching) 358 11.2 生成密钥 364 11.3 取密钥生成算法 365 11.4 高级破解:Defender 370 11.4.1 逆向Defender的初始化程序 377 11.4.2 分析解密后的代码 387 11.4.3 SoftICE的消失 396 11.4.4 逆向分析第二个线程 396 11.4.5 击败“杀手(Killer)”线程 399 11.4.6 加载KERNEL32.DLL 400 11.4.7 再加密函数 401 11.4.8 回到入口点 402 11.4.9 解析程序的参数 404 11.4.10 处理用户名 406 11.4.11 验证用户信息 407 11.4.12 解密代码 409 11.4.13 暴力破解Defender 409 11.5 Defender中的保护技术 415 11.5.1 局部化的函数级加密 415 11.5.2 混淆应用程序与操作系统 11.5.2 之间的接口 416 11.5.3 处理器时间戳验证线程 417 11.5.4 在运行时生成解密密钥 418 11.5.5 重度内联 419 11.6 结论 419 第4部分 反汇编之外 第12章 逆向.NET 423 12.1 基本原则 424 12.2 .NET基础 426 12.2.1 托管代码 426 12.2.2 .NET程序设计语言 428 12.2.3 通用类型系统 428 12.3 中间语言 429 12.3.1 求值堆栈 430 12.3.2 活动记录 430 12.3.3 IL指令 430 12.3.4 代码实例 433 12.4 反编译器 443 12.5 混淆器 444 12.5.1 重命名符号 444 12.5.2 控制流混淆 444 12.5.3 中断反编译与中断反汇编 444 12.6 逆向混淆代码 445 12.6.1 XenoCode混淆器 446 12.6.2 DotFuscator by Preemptive 12.6.2 Solutions 448 12.6.3 Remotesoft 混淆器与连接器 451 12.6.4 Remotesoft Protector 452 12.6.5 预编译的汇编程序 453 12.6.6 加密的汇编程序 453 12.7 结论 455 第13章 反编译 457 13.1 本地代码的反编译:是一个 13.1 解决不了的问题吗? 457 13.2 典型的反编译器架构 459 13.3 中间表示 459 13.3.1 表达式和表达式树 461 13.3.2 控制流图 462 13.4 前端 463 13.4.1 语义分析 463 13.4.2 生成控制流图 464 13.5 代码分析 466 13.5.1 数据流分析 466 13.5.2 类型分析 472 13.5.3 控制流分析 475 13.5.4 查找库函数 475 13.6 反编译器后端 476 13.7 Real-World IA-32反编译 477 13.8 结论 477 附录A 揭密代码结构 479 附录B 理解编译后的算术运算 519 附录C 破译程序数据 537 索引 561 译 者 序 记得第一次做与逆向有关的工作是2000年,当时由于项目的需要,做过一个钩子(hook)程序,用于截获一个第三方控件发出的消息,但是当时还不知道什么是逆向工程。第一次看到“逆向工程”这个词是在2001年的《机械工程学报》上的一篇文章中,主要是讲用三坐标测量仪测量产品中各个部件的三维尺寸并在计算机中快速建模、进而反推其设计思想和基本设计原则。第一次使用逆向工程工具也是在2001年,当时从网上下载了Numega SoftICE,具体哪个版本已经记不清了,在家里的旧电脑上折腾了好几天,直到系统崩溃才罢手。 之后呢,只是零零星星地看过一些相关的资料。因此,当初电子工业出版社和我联系此书的翻译时,我有些犹豫——近600页的逆向工程“巨”著,而且该书无论从深度还是广度上都较其他有关逆向工程的书更胜一筹。但褚华博士和王玉英博士的“加盟”,让我心里踏实了许多,她俩做过系统的逆向工程和程序理解的研究工作,也发表过不少相关的研究论文。 逆向工程这一术语最早来源于机械工程领域(我的老本行)。随着软件业的发展,逆向工程被引入软件工程领域。对于软件逆向工程,IEEE软件工程技术委员会行政秘书E. J. Chikofsky和J. H. Cross在他们的文章中给出了如下定义:软件逆向工程是分析目标系统,认定系统的组件及其交互关系,并且通过高层抽象或其他的形式来展现目标系统的过程。 经过十几年的发展,软件逆向工程领域已有不少研究成果和商业化的产品;但是软件逆向工程仍然算不上成熟,这主要表现在对理论和实践的研究都还处于早期的探究阶段,并未形成统一的、系统的、科学的软件逆向工程的理论和方法。从工程实际的角度来看,大体上可以将软件逆向工程分为两大类: 第一类是从已知软件系统的完整代码出发,生成对应系统的结构以及相关设计原理和算法思想的文档。实际上,学习和研究别人的源代码就属于此类。Chikofsky在本书的序中特别指出:阅读别人写的代码或者自己以前写的代码实际上也是逆向工程在起作用。 第二类是从没有源代码的程序出发,生成对应的源程序、系统结构以及相关设计原理和算法思想的文档等,亦即本书重点讨论的二进制逆向工程。 本书共有13章和三个附录,涵盖了逆向工程的基础知识、应用、开发和拓展的方方面面问题。其中第5章、第9章和附录A、B、C由韩琪翻译,第3章、第11章和第13章由杨艳翻译,第7章、第8章和第10章由王玉英翻译,第4章和第6章由李娜翻译,第1章由褚华翻译,第2章由陈贵敏翻译,第12章由辛健斌翻译;全部译稿的校对由陈贵敏和褚华完成。所有的翻译和校对工作历时半年多,在此,我要感谢为本书的出版付出辛勤汗水的电子工业出版社博文视点的工作人员,特别要感谢本书的策划编辑朱沭红老师和责任编辑顾慧芳老师,她们的严谨认真工作使该译本可读性更高,她们的鼓励更使我信心百倍。 由于译者水平所限,加之时间仓促,译文中肯定存在错误和疏漏,敬请读者批评指正。我的E-mail:efoxxx@126.com。 陈贵敏 2007年5月于西安电子科技大学 简 介 欢迎你阅读《逆向:逆向工程揭密》一书。本书是在我参与了多年的软件开发项目之后写的,这些项目由于各种各样的原因需要反复地对第三方代码进行逆向工程。起初,我觉得这是一个非常单调乏味的过程,只是在没有替代方法来获取信息的情况下才不得已使用它。后来,一霎那间我破除了某个思维障碍,我发现自己迅速地“驰骋”于无正式文献记录的机器码中,快速地破译了代码的涵义并得到我想要的有关代码功能和用途的答案。这时候,我逐渐明白这是一种威力强大的技术,因为这意味着不管我有什么样的有关要处理软件的问题,我都可以非常容易地找到答案,即使我没有看过任何相关的文献资料或者正在处理的程序的源代码。本书就是要为每一个对软件有深刻理解的读者能够这样做提供相关的知识和技术。 其思想很简单:我们应当对底层软件有深入的理解,还要学习那些能够让我们轻松进入任何程序的二进制码并获取信息的技术。不知道系统为什么会以它那样的工作方式运转而且其他人也不知道答案的话,怎么办?没问题——你完全可以自己深入研究并找到答案。这听起来有点恐怖和不现实,是吗?一点儿也不,我写这本书的目的就是向你讲解并示范平常就可以用于解决各种各样问题的逆向工程技术。 不过我总是急于求成。也许你以前没有接触过软件逆向工程的概念,我在这里先简要介绍一下。 逆向工程和底层软件 在开始进入本书所讨论的各部分内容之前,我们应当正式地介绍一下该书的主题:逆向工程。逆向工程是指将工程制品(比如汽车、喷气发动机或者软件程序)以揭示其最底层的细节(如其设计和架构)的方式进行解构的过程。这与研究自然现象的科学研究有些类似,区别就在于一般没有人会把科学研究看做逆向工程,这仅仅是因为没有人确切地知道自然算不算是工程制品。 对软件而言,逆向工程归结起来就是拿一个既没有源代码又没有准确文献资料的现成程序,尝试恢复出它的设计和实现细节。在某些情况下,可以找到程序的源代码,但是找不到最初的开发人员了。本书所讨论的就是通常所说的二进制逆向工程。二进制逆向工程技术的目标是从没有源代码的程序中提取有价值的信息。在有些情况下可以从程序的二进制代码中恢复出准确的源代码(或者接近高级表示的代码),这会大大简化逆向工作,因为阅读用高级语言写的代码要比阅读低级汇编语言代码容易得多。在其他情况下,我们最终得到的只是用晦涩难懂的汇编语言程序清单。本书将讲述这一过程以及程序为什么这样运行,同时还将详细描述如何在各种不同的环境中破解程序代码。 我决定将这本书取名为“逆向(Reversing)”,这一叫法被许多在线社区用来描述逆向工程。因为你可以把逆向看做是逆向工程的别名,故我将在本书中交换使用这两种叫法。 大多数人在尝试想像从可执行二进制程序中提取有意义的信息的时候会变得有些焦虑,因此,我把这本书的首要任务定为证明这种害怕是没有必要的。二进制逆向工程如果行得通的话,它通常能解决用其他方法解决起来极其困难的问题,而且如果方法得当的话它也没有你想像的那么复杂。 本书主要讨论逆向工程,但事实上书中所讲述的内容要比逆向工程多得多。在软件行业内,逆向工程被频繁地应用于各种场合,本书的主要目标之一就是在讲授逆向工程的同时研究这些领域。 下面简要地列出了本书要讨论的一些主题: , IA-32兼容处理器的汇编语言以及如何阅读编译器生成的汇编语言代码; , 操作系统内幕以及如何对操作系统实施逆向工程; , .NET平台上的逆向工程,包括.NET开发平台的简介及.NET平台汇编语言:MSIL(Microsoft中间语言); , 数据逆向工程:如何破译未公开的文件格式或者网络协议; , 逆向工程的合法性问题:什么情况下是合法的,什么情况下是非法的? , 拷贝保护和数字版权管理技术; , 破解人员是如何应用逆向工程使拷贝保护技术失效的; , 防止人们对代码实施逆向工程的技术并认真尝试评价这些技术的有效性; , 目前恶意程序的基本原理以及如何应用逆向工程研究并清除这样的程序; , 一个真实恶意程序的现场剖析和展示,以及揭示了攻击者是怎样通过程序通信获得被感染系统的控制权的; , 反编译器背后的理论和原则,以及它们对各种低级语言代码进行反编译的有效性。 本书的组织 本书共分四部分。第1部分提供了学习后边部分所需的基础知识,其他三个部分分别讲述了不同的逆向工程情景,并展示了真实的案例研究。每一部分的详细描述如下。 , 第1部分—逆向101:本书是从讨论理解底层软件所需的所有基础知识开始的。你必定能想像到,这几章不可能包含所有相关的知识,你只需将这些内容看作是对以前学过的材料重新整理。如果本书前三章讲述的所有内容或者大部分内容对你来说都是全新的,那么这本书不适合你。这几章的主要内容有:介绍了逆向工程及其各种应用(第1章),底层软件的概念(第2章),并以Microsoft Windows为重点介绍了操作系统内部结构(第3章)。总的来说,如果你精通这些内容以及底层软件,你基本上可以跳过这几章。第4章讨论了各种类型的常用逆向工程工具,并为各种情况推荐了适合的专用工具。这些工具的大部分都在本书展示的逆向工程实例过程中使用过。 , 第2部分——应用逆向:本书的第2部分演示了在真正的软件上实施的逆向工程项目。这部分的每一章分别讨论一种不同类型的逆向工程应用。第5章讨论了最常见的情境——对操作系统或第三方代码库进行逆向工程,以便更好地利用它的内部服务和API。第6章展示了如何应用数据逆向工程技术破解无正式文档记录的专用文件格式。第7章展示了漏洞研究人员如何使用逆向工程技术在二进制代码可执行程序中寻找漏洞。这部分的最后一章,第8章讨论了恶意软件,如病毒和蠕虫,并简要介绍了这一内容。这一章还展示了对真正的恶意程序进行逆向工程的实例过程,这实际上就是恶意软件研究人员为了研究恶意程序、估计它们带来的危险、并研究如何清除它们所必须经历的过程。 , 第3部分——盗版和拷贝保护:这一部分主要讨论与安全相关的代码的逆向工程,如拷贝保护和数字版权管理(Digital Rights Management,DRM)技术。第9章简要介绍了盗版和拷贝保护并讨论了拷贝保护技术的基本原则。第10章讲述了反逆向工程技术,如在拷贝保护和DRM技术中常常采用的技术,并评价它们的有效性。第11章讨论了“破解者”是怎样使用逆向工程破解拷贝保护机制并窃取拷贝保护内容的。 , 第4部分——反汇编之外:本书的最后部分所讲述的内容已经超出了可执行程序的简单反汇编。第12章讨论了在Microsoft .NET开发平台上开发的虚拟机程序的逆向工程过程。这一章简单介绍了.NET平台及其低级的汇编语言MSIL(Microsoft 中间语言,Microsoft Intermediate Language)。第13章论讨论了有关反编译的更理论化的主题,并说明了反编译器是怎样工作的以及反编译本地汇编语言代码为什么那么具有挑战性。 , 附录:本书共包含三个附录,可以作为破解Intel IA-32汇编语言程序的有价值的参考资料。这几个附录远远超出了简单的汇编语言参考向导,讲述了公共代码段(common code fragments)和常用编译器对几种典型的代码序列表现出来的编译器习性(complier idioms),并介绍了识别和破解它们的方法。 谁应当阅读此书 本书所揭示的技术能够让各行各业的人受益。软件开发人员想要提高他们对软件底层知识的理解:如操作系统、汇编语言、编译,等等,这本书无疑会让他们受益匪浅。更重要的是,该书能够让所有对开发技术感兴趣的人们快速而高效地研究和考察现有代码,不管是操作系统代码、软件库代码还是软件组件代码。除了这些技术以外,本书还提供了诸如安全、版权控制等许多主题的精彩讲述。即使对逆向工程不是很感兴趣,只是在书中找到一处或多处感兴趣的内容,你就可能从中获益。 就预修知识而言,本书涉及到一些相当高级的技术材料,我已经试着尽可能让它们在内容上保持独立。所需的大多数基础知识都包含在本书的第1部分中。当然,要想真正从本书中获益,你还得有一定的软件开发知识和经验,这也是很重要的。如果你一点专业的软件开发经验都没有,但是现在正在学习这方面的知识,那也为时不晚。相反地,如果你没有正规地学习过计算机,只做过几年的程序设计,那你也可能从本书中获益。 最后,对于那些已经具有底层软件和逆向工程经验的高级读者而言,他们希望学习一些有趣的高级技术和如何从现有代码中提取非常详细的信息,本书也会对他们有所帮助。 工具和平台 实施逆向工程需要各种各样的工具。本书通篇介绍和讨论了大量这样的工具,而且我有意地在大部分范例中使用免费工具,这样读者就可以照着范例实践而不需要在工具上花费数千美元了。需要指出的是,在某些情况下,大型的逆向工程项目会从这些昂贵的工具中受益匪浅。我试着为每个相关的工具提供尽量多的信息,并展示每个工具对逆向过程的影响。项目是否值得花钱去买工具,最终的决定权还在读者手里。 逆向工程通常是平台相关的,它会受到具体的操作系统和所用的硬件平台的影响。本书中使用的主要操作系统是Microsoft Windows,而且我有很好的理由来说明为什么选择Microsoft Windows。Windows是最流行的逆向工程环境,这不仅仅是因为它是最流行的操作系统。例如,受人欢迎的Windows替代品——开放源码的Linux,准确地讲它与逆向的立场相去甚远,因为整个操作系统以及在其上运行的大部分软件的源代码都是开放的。逆向开发源码的产品是没有意义的——直接读源代码就好了,或者还有更好的办法——咨询原开发者,没有什么秘密可言。 本书网站上有什么 你可以访问本书的网站http://www.wiley.com/go/eeilam,上面有书中所有的示例程序。在网站上我还增加了链向本书讨论过的各种文章、产品以及在线资源的链接。 从哪里开始学习? 本书是按照从开始到结尾顺序阅读的方式写作的。当然,有些人可能更愿意挑选感兴趣的章节阅读,对他们来说这样获益更多。就从哪里开始而言,不考虑你的背景,我建议你先读一下第1章,以确保你了解本书所涉及的所有基本的与逆向工程相关的资料。如果你没有很好的逆向工程和底层软件经验的话,我强烈建议你按照本书的“自然”顺序阅读,最起码前两部分要这样做。 如果你经验丰富,并觉得自己精通软件开发和操作系统的话,或许你可以直接跳到第4章开始学习逆向工程工具。

    5
    238
    18.6MB
    2010-06-21
    19
  • Reversing:逆向工程揭密

    第一卷************** 不错的PDF电子书,共3个分卷,点我名字可以找全 第1部分 逆向101 第1章 基础 3 1.1 什么是逆向工程 3 1.2 软件逆向工程:逆向 4 1.3 逆向应用 4 1.3.1 与安全相关的逆向 5 1.3.2 软件开发中的逆向 8 1.4 底层软件 9 1.4.1 汇编语言 10 1.4.2 编译器 11 1.4.3 虚拟机和字节码 12 1.4.4 操作系统 13 1.5 逆向过程 13 1.5.1 系统级逆向 14 1.5.2 代码级逆向 14 1.6 工具 14 1.6.1 系统监控工具 15 1.6.2 反汇编器 15 1.6.3 调试器 15 1.6.4 反编译器 16 1.7 逆向合法吗? 17 1.7.1 互操作性 17 1.7.2 竞争 18 1.7.3 版权法 19 1.7.4 商业机密和专利权 20 1.7.5 美国数字千禧版权法 20 1.7.6 DMCA案例 22 1.7.7 许可证协议 23 1.8 代码范例与工具 23 1.9 结论 23 第2章 底层软件 25 2.1 高阶视角 26 2.1.1 程序结构 26 2.1.2 数据管理 29 2.1.3 控制流 32 2.1.4 高级语言 33 2.2 低阶视角 37 2.2.1 底层数据管理 37 2.2.2 控制流 43 2.3 汇编语言101 44 2.3.1 寄存器 44 2.3.2 标志位 46 2.3.3 指令格式 47 2.3.4 基本指令 48 2.3.5 范例 52 2.4 编译器和编译入门 53 2.4.1 定义编译器 54 2.4.2 编译器架构 55 2.4.3 列表文件 58 2.4.4 专用编译器 59 2.5 执行环境 60 2.5.1 软件执行环境(虚拟机) 60 2.5.2 现代处理器的硬件执行环境 63 2.6 结论 68 第3章 Windows基础知识 69 3.1 组件及基本架构 70 3.1.1 简要回顾 70 3.1.2 特征 70 3.1.3 支持的硬件 71 3.2 内存管理 71 3.2.1 虚拟内存和分页 72 3.2.2 工作集 74 3.2.3 内核内存和用户内存 74 3.2.4 内核内存空间 75 3.2.5 区段对象 77 3.2.6 VAD树 78 3.2.7 用户模式的内存分配 78 3.2.8 内存管理API 79 3.3 对象与句柄 80 命名对象 81 3.4 进程与线程 83 3.4.1 进程 84 3.4.2 线程 84 3.4.3 运行状态切换 85 3.4.4 同步对象 86 3.4.5 进程初始化顺序 87 3.5 应用程序编程接口 88 3.5.1 Win32 API 88 3.5.2 本地API 90 3.5.3 系统调用机制 91 3.6 可执行文件格式 93 3.6.1 基本概念 93 3.6.2 映像区段(Image Sections) 95 3.6.3 区段对齐(Section Alignment) 95 3.6.4 动态链接库 96 3.6.5 头部 97 3.6.6 导入与导出 99 3.6.7 目录 99 3.7 输入与输出 103 3.7.1 I/O系统 103 3.7.2 Win32子系统 104 3.8 结构化异常处理 105 3.9 结论 107 第4章 逆向工具 109 4.1 不同的逆向方法 110 4.1.1 离线代码分析 110 4.1.2 现场代码分析 110 4.2 反汇编器——ILDasm 110 4.3 调试器 116 4.3.1 用户模式调试器 118 4.3.2 内核模式调试器 122 4.4 反编译器 129 4.5 系统监控工具 129 4.6 修补工具 131 Hex Workshop 131 4.7 其他类型的逆向工具 133 可执行程序转储工具 133 4.8 结论 138 第2部分 应用逆向 第5章 未公开的技术 141 5.1 逆向和互操作性 142 5.2 基本原则 142 5.3 定位未公开的API函数 143 我们要找什么? 144 5.4 案例研究:NTDLL.DLL中的 5.4 Generic Table API 145 5.4.1 RtlInitializeGenericTable 146 5.4.2 RtlNumberGenericTableElements 151 5.4.3 RtlIsGenericTableEmpty 152 5.4.4 RtlGetElementGenericTable 153 5.4.5 RtlInsertElementGenericTable 168 5.4.6 RtlLookupElementGenericTable 188 5.4.7 RtlDeleteElementGenericTable 193 5.4.8 思路整理 194 5.5 结论 196 第6章 破译文件格式 199 6.1 Cryptex 200 6.2 使用Cryptex 201 6.3 逆向Cryptex 202 6.4 口令校验过程 207 6.4.1 捕获“Bad Password”消息 207 6.4.2 口令变换算法 210 6.4.3 对口令作hash处理 213 6.5 目录结构 218 6.5.1 分析目录处理代码 218 6.5.2 分析文件项 223 6.6 转储目录结构 227 6.7 文件提取过程 228 6.7.1 扫描文件列表 234 6.7.2 解密文件 235 6.7.3 浮点运算代码 236 6.7.4 解密循环 238 6.7.5 验证Hash值 239 6.8 要点总结 239 6.9 进一步讨论 241 6.10 结论 242 第7章 审查程序的二进制码 243 7.1 定义问题 243 7.2 漏洞 245 7.2.1 堆栈溢出 245 7.2.2 堆溢出 255 7.2.3 字符串过滤程序 256 7.2.4 整数溢出 256 7.2.5 类型转换错误 260 7.3 案例研究:IIS索引服务漏洞 262 7.3.1 CVariableSet:: 7.3.1 AddExtensionControlBlock 263 7.3.2 DecodeURLEscapes 267 7.4 结论 271 第8章 逆向恶意软件 273 8.1 恶意软件的分类 274 8.1.1 病毒 274 8.1.2 蠕虫 274 8.1.3 特洛伊木马 275 8.1.4 后门 276 8.1.5 移动代码 276 8.1.6 广告软件和间谍软件 276 8.2 粘人的软件(Sticky 8.2 Software) 277 8.3 未来的恶意软件 278 8.3.1 盗取信息的蠕虫 278 8.3.2 BIOS/固件恶意软件 279 8.4 恶意软件的使用 280 8.5 恶意软件的弱点 281 8.6 多态 282 8.7 变形 283 8.8 建立安全的环境 285 8.9 Backdoor.Hacarmy.D 285 8.9.1 脱壳可执行文件 286 8.9.2 初次印象 290 8.9.3 初次安装 291 8.9.4 初始化通信设置 294 8.9.5 连接到服务器 296 8.9.6 连接信道 298 8.9.7 与后门进行通信 299 8.9.8 运行SOCK4服务器 303 8.9.9 清理犯罪现场 303 8.10 The Backdoor.Hacarmy.D: 8.10 命令参考 304 8.11 结论 306 第3部分 破解 第9章 盗版与拷贝保护 309 9.1 世界中的版权 309 9.2 社会方面 310 9.3 软件盗版 310 9.3.1 明确问题 311 9.3.2 群破解 312 9.3.3 需求 313 9.3.4 理论上不可破解的模型 314 9.4 各种类型的保护 314 9.4.1 基于介质的保护 314 9.4.2 序列号 315 9.4.3 质询响应和在线激活 315 9.4.4 基于硬件的保护 316 9.4.5 软件即服务 317 9.5 高级保护的概念 318 加密处理器 318 9.6 数字版权管理 319 数字版权管理模型 320 9.7 加水印 321 9.8 可信计算 322 9.9 破解拷贝保护技术 324 9.10 结论 324 第10章 反逆向技术 327 10.1 为什么要反逆向? 327 10.2 反逆向的基本方法 328 10.3 消除符号信息 329 10.4 代码加密 330 10.5 活跃的反调试器技术 331 10.5.1 调试器基础 331 10.5.2 API函数IsDebuggerPresent 332 10.5.3 SystemKernelDebugger 10.5.3 Information 333 10.5.4 用单步中断检测SoftICE 334 10.5.5 陷阱标志 335 10.5.6 代码校验和 335 10.6 迷惑反汇编器 336 10.6.1 线性扫描反汇编器 337 10.6.2 递归遍历反汇编器 338 10.6.3 应用 343 10.7 代码混淆 344 10.8 控制流变换 346 10.8.1 暗晦谓词 346 10.8.2 迷惑反编译器 348 10.8.3 表译码 348 10.8.4 内联和外联 353 10.8.5 交叉代码 354 10.8.6 次序变换 355 10.9 数据变换 355 10.9.1 修改变量编码 355 10.9.2 重构数组 356 10.10 结论 356 第11章 突破保护 357 11.1 修补程序(Patching) 358 11.2 生成密钥 364 11.3 取密钥生成算法 365 11.4 高级破解:Defender 370 11.4.1 逆向Defender的初始化程序 377 11.4.2 分析解密后的代码 387 11.4.3 SoftICE的消失 396 11.4.4 逆向分析第二个线程 396 11.4.5 击败“杀手(Killer)”线程 399 11.4.6 加载KERNEL32.DLL 400 11.4.7 再加密函数 401 11.4.8 回到入口点 402 11.4.9 解析程序的参数 404 11.4.10 处理用户名 406 11.4.11 验证用户信息 407 11.4.12 解密代码 409 11.4.13 暴力破解Defender 409 11.5 Defender中的保护技术 415 11.5.1 局部化的函数级加密 415 11.5.2 混淆应用程序与操作系统 11.5.2 之间的接口 416 11.5.3 处理器时间戳验证线程 417 11.5.4 在运行时生成解密密钥 418 11.5.5 重度内联 419 11.6 结论 419 第4部分 反汇编之外 第12章 逆向.NET 423 12.1 基本原则 424 12.2 .NET基础 426 12.2.1 托管代码 426 12.2.2 .NET程序设计语言 428 12.2.3 通用类型系统 428 12.3 中间语言 429 12.3.1 求值堆栈 430 12.3.2 活动记录 430 12.3.3 IL指令 430 12.3.4 代码实例 433 12.4 反编译器 443 12.5 混淆器 444 12.5.1 重命名符号 444 12.5.2 控制流混淆 444 12.5.3 中断反编译与中断反汇编 444 12.6 逆向混淆代码 445 12.6.1 XenoCode混淆器 446 12.6.2 DotFuscator by Preemptive 12.6.2 Solutions 448 12.6.3 Remotesoft 混淆器与连接器 451 12.6.4 Remotesoft Protector 452 12.6.5 预编译的汇编程序 453 12.6.6 加密的汇编程序 453 12.7 结论 455 第13章 反编译 457 13.1 本地代码的反编译:是一个 13.1 解决不了的问题吗? 457 13.2 典型的反编译器架构 459 13.3 中间表示 459 13.3.1 表达式和表达式树 461 13.3.2 控制流图 462 13.4 前端 463 13.4.1 语义分析 463 13.4.2 生成控制流图 464 13.5 代码分析 466 13.5.1 数据流分析 466 13.5.2 类型分析 472 13.5.3 控制流分析 475 13.5.4 查找库函数 475 13.6 反编译器后端 476 13.7 Real-World IA-32反编译 477 13.8 结论 477 附录A 揭密代码结构 479 附录B 理解编译后的算术运算 519 附录C 破译程序数据 537 索引 561 译 者 序 记得第一次做与逆向有关的工作是2000年,当时由于项目的需要,做过一个钩子(hook)程序,用于截获一个第三方控件发出的消息,但是当时还不知道什么是逆向工程。第一次看到“逆向工程”这个词是在2001年的《机械工程学报》上的一篇文章中,主要是讲用三坐标测量仪测量产品中各个部件的三维尺寸并在计算机中快速建模、进而反推其设计思想和基本设计原则。第一次使用逆向工程工具也是在2001年,当时从网上下载了Numega SoftICE,具体哪个版本已经记不清了,在家里的旧电脑上折腾了好几天,直到系统崩溃才罢手。 之后呢,只是零零星星地看过一些相关的资料。因此,当初电子工业出版社和我联系此书的翻译时,我有些犹豫——近600页的逆向工程“巨”著,而且该书无论从深度还是广度上都较其他有关逆向工程的书更胜一筹。但褚华博士和王玉英博士的“加盟”,让我心里踏实了许多,她俩做过系统的逆向工程和程序理解的研究工作,也发表过不少相关的研究论文。 逆向工程这一术语最早来源于机械工程领域(我的老本行)。随着软件业的发展,逆向工程被引入软件工程领域。对于软件逆向工程,IEEE软件工程技术委员会行政秘书E. J. Chikofsky和J. H. Cross在他们的文章中给出了如下定义:软件逆向工程是分析目标系统,认定系统的组件及其交互关系,并且通过高层抽象或其他的形式来展现目标系统的过程。 经过十几年的发展,软件逆向工程领域已有不少研究成果和商业化的产品;但是软件逆向工程仍然算不上成熟,这主要表现在对理论和实践的研究都还处于早期的探究阶段,并未形成统一的、系统的、科学的软件逆向工程的理论和方法。从工程实际的角度来看,大体上可以将软件逆向工程分为两大类: 第一类是从已知软件系统的完整代码出发,生成对应系统的结构以及相关设计原理和算法思想的文档。实际上,学习和研究别人的源代码就属于此类。Chikofsky在本书的序中特别指出:阅读别人写的代码或者自己以前写的代码实际上也是逆向工程在起作用。 第二类是从没有源代码的程序出发,生成对应的源程序、系统结构以及相关设计原理和算法思想的文档等,亦即本书重点讨论的二进制逆向工程。 本书共有13章和三个附录,涵盖了逆向工程的基础知识、应用、开发和拓展的方方面面问题。其中第5章、第9章和附录A、B、C由韩琪翻译,第3章、第11章和第13章由杨艳翻译,第7章、第8章和第10章由王玉英翻译,第4章和第6章由李娜翻译,第1章由褚华翻译,第2章由陈贵敏翻译,第12章由辛健斌翻译;全部译稿的校对由陈贵敏和褚华完成。所有的翻译和校对工作历时半年多,在此,我要感谢为本书的出版付出辛勤汗水的电子工业出版社博文视点的工作人员,特别要感谢本书的策划编辑朱沭红老师和责任编辑顾慧芳老师,她们的严谨认真工作使该译本可读性更高,她们的鼓励更使我信心百倍。 由于译者水平所限,加之时间仓促,译文中肯定存在错误和疏漏,敬请读者批评指正。我的E-mail:efoxxx@126.com。 陈贵敏 2007年5月于西安电子科技大学 简 介 欢迎你阅读《逆向:逆向工程揭密》一书。本书是在我参与了多年的软件开发项目之后写的,这些项目由于各种各样的原因需要反复地对第三方代码进行逆向工程。起初,我觉得这是一个非常单调乏味的过程,只是在没有替代方法来获取信息的情况下才不得已使用它。后来,一霎那间我破除了某个思维障碍,我发现自己迅速地“驰骋”于无正式文献记录的机器码中,快速地破译了代码的涵义并得到我想要的有关代码功能和用途的答案。这时候,我逐渐明白这是一种威力强大的技术,因为这意味着不管我有什么样的有关要处理软件的问题,我都可以非常容易地找到答案,即使我没有看过任何相关的文献资料或者正在处理的程序的源代码。本书就是要为每一个对软件有深刻理解的读者能够这样做提供相关的知识和技术。 其思想很简单:我们应当对底层软件有深入的理解,还要学习那些能够让我们轻松进入任何程序的二进制码并获取信息的技术。不知道系统为什么会以它那样的工作方式运转而且其他人也不知道答案的话,怎么办?没问题——你完全可以自己深入研究并找到答案。这听起来有点恐怖和不现实,是吗?一点儿也不,我写这本书的目的就是向你讲解并示范平常就可以用于解决各种各样问题的逆向工程技术。 不过我总是急于求成。也许你以前没有接触过软件逆向工程的概念,我在这里先简要介绍一下。 逆向工程和底层软件 在开始进入本书所讨论的各部分内容之前,我们应当正式地介绍一下该书的主题:逆向工程。逆向工程是指将工程制品(比如汽车、喷气发动机或者软件程序)以揭示其最底层的细节(如其设计和架构)的方式进行解构的过程。这与研究自然现象的科学研究有些类似,区别就在于一般没有人会把科学研究看做逆向工程,这仅仅是因为没有人确切地知道自然算不算是工程制品。 对软件而言,逆向工程归结起来就是拿一个既没有源代码又没有准确文献资料的现成程序,尝试恢复出它的设计和实现细节。在某些情况下,可以找到程序的源代码,但是找不到最初的开发人员了。本书所讨论的就是通常所说的二进制逆向工程。二进制逆向工程技术的目标是从没有源代码的程序中提取有价值的信息。在有些情况下可以从程序的二进制代码中恢复出准确的源代码(或者接近高级表示的代码),这会大大简化逆向工作,因为阅读用高级语言写的代码要比阅读低级汇编语言代码容易得多。在其他情况下,我们最终得到的只是用晦涩难懂的汇编语言程序清单。本书将讲述这一过程以及程序为什么这样运行,同时还将详细描述如何在各种不同的环境中破解程序代码。 我决定将这本书取名为“逆向(Reversing)”,这一叫法被许多在线社区用来描述逆向工程。因为你可以把逆向看做是逆向工程的别名,故我将在本书中交换使用这两种叫法。 大多数人在尝试想像从可执行二进制程序中提取有意义的信息的时候会变得有些焦虑,因此,我把这本书的首要任务定为证明这种害怕是没有必要的。二进制逆向工程如果行得通的话,它通常能解决用其他方法解决起来极其困难的问题,而且如果方法得当的话它也没有你想像的那么复杂。 本书主要讨论逆向工程,但事实上书中所讲述的内容要比逆向工程多得多。在软件行业内,逆向工程被频繁地应用于各种场合,本书的主要目标之一就是在讲授逆向工程的同时研究这些领域。 下面简要地列出了本书要讨论的一些主题: , IA-32兼容处理器的汇编语言以及如何阅读编译器生成的汇编语言代码; , 操作系统内幕以及如何对操作系统实施逆向工程; , .NET平台上的逆向工程,包括.NET开发平台的简介及.NET平台汇编语言:MSIL(Microsoft中间语言); , 数据逆向工程:如何破译未公开的文件格式或者网络协议; , 逆向工程的合法性问题:什么情况下是合法的,什么情况下是非法的? , 拷贝保护和数字版权管理技术; , 破解人员是如何应用逆向工程使拷贝保护技术失效的; , 防止人们对代码实施逆向工程的技术并认真尝试评价这些技术的有效性; , 目前恶意程序的基本原理以及如何应用逆向工程研究并清除这样的程序; , 一个真实恶意程序的现场剖析和展示,以及揭示了攻击者是怎样通过程序通信获得被感染系统的控制权的; , 反编译器背后的理论和原则,以及它们对各种低级语言代码进行反编译的有效性。 本书的组织 本书共分四部分。第1部分提供了学习后边部分所需的基础知识,其他三个部分分别讲述了不同的逆向工程情景,并展示了真实的案例研究。每一部分的详细描述如下。 , 第1部分—逆向101:本书是从讨论理解底层软件所需的所有基础知识开始的。你必定能想像到,这几章不可能包含所有相关的知识,你只需将这些内容看作是对以前学过的材料重新整理。如果本书前三章讲述的所有内容或者大部分内容对你来说都是全新的,那么这本书不适合你。这几章的主要内容有:介绍了逆向工程及其各种应用(第1章),底层软件的概念(第2章),并以Microsoft Windows为重点介绍了操作系统内部结构(第3章)。总的来说,如果你精通这些内容以及底层软件,你基本上可以跳过这几章。第4章讨论了各种类型的常用逆向工程工具,并为各种情况推荐了适合的专用工具。这些工具的大部分都在本书展示的逆向工程实例过程中使用过。 , 第2部分——应用逆向:本书的第2部分演示了在真正的软件上实施的逆向工程项目。这部分的每一章分别讨论一种不同类型的逆向工程应用。第5章讨论了最常见的情境——对操作系统或第三方代码库进行逆向工程,以便更好地利用它的内部服务和API。第6章展示了如何应用数据逆向工程技术破解无正式文档记录的专用文件格式。第7章展示了漏洞研究人员如何使用逆向工程技术在二进制代码可执行程序中寻找漏洞。这部分的最后一章,第8章讨论了恶意软件,如病毒和蠕虫,并简要介绍了这一内容。这一章还展示了对真正的恶意程序进行逆向工程的实例过程,这实际上就是恶意软件研究人员为了研究恶意程序、估计它们带来的危险、并研究如何清除它们所必须经历的过程。 , 第3部分——盗版和拷贝保护:这一部分主要讨论与安全相关的代码的逆向工程,如拷贝保护和数字版权管理(Digital Rights Management,DRM)技术。第9章简要介绍了盗版和拷贝保护并讨论了拷贝保护技术的基本原则。第10章讲述了反逆向工程技术,如在拷贝保护和DRM技术中常常采用的技术,并评价它们的有效性。第11章讨论了“破解者”是怎样使用逆向工程破解拷贝保护机制并窃取拷贝保护内容的。 , 第4部分——反汇编之外:本书的最后部分所讲述的内容已经超出了可执行程序的简单反汇编。第12章讨论了在Microsoft .NET开发平台上开发的虚拟机程序的逆向工程过程。这一章简单介绍了.NET平台及其低级的汇编语言MSIL(Microsoft 中间语言,Microsoft Intermediate Language)。第13章论讨论了有关反编译的更理论化的主题,并说明了反编译器是怎样工作的以及反编译本地汇编语言代码为什么那么具有挑战性。 , 附录:本书共包含三个附录,可以作为破解Intel IA-32汇编语言程序的有价值的参考资料。这几个附录远远超出了简单的汇编语言参考向导,讲述了公共代码段(common code fragments)和常用编译器对几种典型的代码序列表现出来的编译器习性(complier idioms),并介绍了识别和破解它们的方法。 谁应当阅读此书 本书所揭示的技术能够让各行各业的人受益。软件开发人员想要提高他们对软件底层知识的理解:如操作系统、汇编语言、编译,等等,这本书无疑会让他们受益匪浅。更重要的是,该书能够让所有对开发技术感兴趣的人们快速而高效地研究和考察现有代码,不管是操作系统代码、软件库代码还是软件组件代码。除了这些技术以外,本书还提供了诸如安全、版权控制等许多主题的精彩讲述。即使对逆向工程不是很感兴趣,只是在书中找到一处或多处感兴趣的内容,你就可能从中获益。 就预修知识而言,本书涉及到一些相当高级的技术材料,我已经试着尽可能让它们在内容上保持独立。所需的大多数基础知识都包含在本书的第1部分中。当然,要想真正从本书中获益,你还得有一定的软件开发知识和经验,这也是很重要的。如果你一点专业的软件开发经验都没有,但是现在正在学习这方面的知识,那也为时不晚。相反地,如果你没有正规地学习过计算机,只做过几年的程序设计,那你也可能从本书中获益。 最后,对于那些已经具有底层软件和逆向工程经验的高级读者而言,他们希望学习一些有趣的高级技术和如何从现有代码中提取非常详细的信息,本书也会对他们有所帮助。 工具和平台 实施逆向工程需要各种各样的工具。本书通篇介绍和讨论了大量这样的工具,而且我有意地在大部分范例中使用免费工具,这样读者就可以照着范例实践而不需要在工具上花费数千美元了。需要指出的是,在某些情况下,大型的逆向工程项目会从这些昂贵的工具中受益匪浅。我试着为每个相关的工具提供尽量多的信息,并展示每个工具对逆向过程的影响。项目是否值得花钱去买工具,最终的决定权还在读者手里。 逆向工程通常是平台相关的,它会受到具体的操作系统和所用的硬件平台的影响。本书中使用的主要操作系统是Microsoft Windows,而且我有很好的理由来说明为什么选择Microsoft Windows。Windows是最流行的逆向工程环境,这不仅仅是因为它是最流行的操作系统。例如,受人欢迎的Windows替代品——开放源码的Linux,准确地讲它与逆向的立场相去甚远,因为整个操作系统以及在其上运行的大部分软件的源代码都是开放的。逆向开发源码的产品是没有意义的——直接读源代码就好了,或者还有更好的办法——咨询原开发者,没有什么秘密可言。 本书网站上有什么 你可以访问本书的网站http://www.wiley.com/go/eeilam,上面有书中所有的示例程序。在网站上我还增加了链向本书讨论过的各种文章、产品以及在线资源的链接。 从哪里开始学习? 本书是按照从开始到结尾顺序阅读的方式写作的。当然,有些人可能更愿意挑选感兴趣的章节阅读,对他们来说这样获益更多。就从哪里开始而言,不考虑你的背景,我建议你先读一下第1章,以确保你了解本书所涉及的所有基本的与逆向工程相关的资料。如果你没有很好的逆向工程和底层软件经验的话,我强烈建议你按照本书的“自然”顺序阅读,最起码前两部分要这样做。 如果你经验丰富,并觉得自己精通软件开发和操作系统的话,或许你可以直接跳到第4章开始学习逆向工程工具。

    4
    390
    18.6MB
    2010-06-21
    10
  • 新编Windows API参考大全

    本书是从事Windows应用程序开发的软件工程师的必备参考手册。

    0
    72
    681KB
    2008-05-26
    3
关注 私信
上传资源赚积分or赚钱