黑客反匯編揭秘（第二版）

第1篇　黑客工具介紹
第1章　攜黑客工具啟程 2
1.1　調(diào)試器 2
1.2　反匯編器 6
1.3　反編譯器 8
1.4　十六進(jìn)制編輯器 10
1.5　解包器（Unpacker） 12
1.6　轉(zhuǎn)儲(chǔ)器 13
1.7　資源編輯器 14
1.8　窺測(cè)器（spy） 14
1.9　監(jiān)視器（Monitor） 15
1.10　修正器 17
1.11　受保護(hù)光盤復(fù)制器 17
第2章　UNIX黑客工具 18
2.1　調(diào)試器 18
2.2　反匯編器 21
2.3　窺測(cè)器 22
2.4　十六進(jìn)制編輯器 23
2.5　轉(zhuǎn)儲(chǔ)器 24
2.6　自動(dòng)保護(hù)工具 24
第3章　調(diào)試器與仿真器的仿真 25
3.1　仿真器介紹 25
3.2　歷史概況 25
3.2.1　仿真器的應(yīng)用范圍 27
3.2.2　硬件虛擬 31
3.3　流行的仿真器概述 32
3.3.1　DOSBox 32
3.3.2　Bochs 34
3.3.3　VMware 35
3.3.4　Microsoft Virtual PC 37
3.3.5　Xen 39
3.3.6　最勢(shì)均力敵的競(jìng)爭(zhēng)對(duì)手 40
3.4　仿真器的選用 41
3.4.1　安全性 41
3.4.2　可擴(kuò)展性 41
3.4.3　源代碼是否可用 41
3.4.4　仿真的質(zhì)量 42
3.4.5　內(nèi)置調(diào)試器 43
3.4.6　注釋 43
3.4.7　如何在VMware下配置
3.4.7　SoftICE 45
第4章　匯編器入門 46
4.1　匯編語(yǔ)言方法論 47
4.2　基于C程序?qū)嵗忉寘R編概念 48
4.3　匯編插入語(yǔ)句是基石 49
4.4　可用的匯編語(yǔ)言工具 50
4.5　匯編編譯器的概況與比較 51
4.5.1　評(píng)判的基本標(biāo)準(zhǔn) 52
4.5.2　MASM 54
4.5.3　TASM 56
4.5.4　FASM 57
4.5.5　NASM 58
4.5.6　YASM 59
4.5.7　結(jié)論 60
第2篇　基本黑客技術(shù)
第5章　走進(jìn)黑客門 64
5.1　按密鑰類型劃分保護(hù)機(jī)制 67
5.2　保護(hù)機(jī)制的強(qiáng)度 68
5.3　現(xiàn)成零售方案的缺點(diǎn) 70
5.4　定制保護(hù)機(jī)制的實(shí)現(xiàn)錯(cuò)誤 70
5.4.1　非授權(quán)復(fù)制與序列號(hào)分發(fā) 70
5.4.2　試用期及其弱點(diǎn) 71
5.4.3　算法重建 74
5.4.4　磁盤與內(nèi)存的修改 78
5.4.5　反反匯編器 78
5.4.6　反調(diào)試技術(shù) 79
5.4.7　反監(jiān)聽器 79
5.4.8　反轉(zhuǎn)儲(chǔ)器 79
5.4.9　彌補(bǔ)保護(hù)機(jī)制 80
5.10　容易導(dǎo)致嚴(yán)重后果的小錯(cuò)誤 80
第6章　熱身 83
6.1　創(chuàng)建保護(hù)機(jī)制，并嘗試破解之 83
6.2　走近反匯編器 85
6.2.1　批反匯編器與交互式反匯編器 86
6.2.2　使用批反匯編器 87
6.2.3　從EXE到CRK 90
6.3　實(shí)際的破解范例 101
6.3.1　抑制干擾屏的出現(xiàn) 102
6.3.2　強(qiáng)行注冊(cè) 105
6.3.3　純粹的破解或者馴服About
6.3.3　對(duì)話框 108
6.4　總結(jié) 111
第7章　通曉應(yīng)用程序調(diào)試技術(shù) 112
7.1　調(diào)試簡(jiǎn)介 112
7.2　配套使用反匯編器與調(diào)試器 113
7.3　API函數(shù)斷點(diǎn) 115
7.4　消息斷點(diǎn) 117
7.5　數(shù)據(jù)斷點(diǎn) 118
7.6　展開堆棧 119
7.7　調(diào)試DLL 121
7.8　總結(jié) 122
第8章　UNIX與Linux的特定調(diào)試技術(shù) 123
8.1　ptrace是GDB的基礎(chǔ) 124
8.1.1　ptrace及其命令 126
8.1.2　GDB對(duì)多進(jìn)程的支持 127
8.1.3　GDB簡(jiǎn)介 128
8.1.4　跟蹤系統(tǒng)調(diào)用 131
8.1.5　有用的鏈接 132
8.2　用GDB調(diào)試二進(jìn)制文件 133
8.2.1　準(zhǔn)備進(jìn)行文件調(diào)試 133
8.2.2　跟蹤前的準(zhǔn)備 138
第9章　Linice內(nèi)核調(diào)試基礎(chǔ) 141
9.1　系統(tǒng)要求 142
9.2　編譯與配置Linice 143
9.3　引導(dǎo)系統(tǒng)與啟動(dòng)調(diào)試器 144
9.4　Linice的基本使用原理 147
9.5　總結(jié) 151
第10章　高級(jí)調(diào)試專題 152
10.1　SoftICE用作日志記錄器 152
10.1.1　熱身運(yùn)動(dòng) 153
10.1.2　更復(fù)雜的過濾器 156
10.1.3　SoftICE的動(dòng)畫型跟蹤 159
10.2　隨機(jī)設(shè)置斷點(diǎn)的黑客技巧 160
10.2.1　單步跟蹤的秘密 161
10.3　通過覆蓋方法進(jìn)行破解 169
10.3.1　總體思路 169
10.3.2　工具的選擇 170
10.4　確定代碼覆蓋的算法 172
10.5　方法的選擇 173
10.6　程序破解實(shí)例 174
10.7　總結(jié) 179
第3篇　高級(jí)反匯編技術(shù)
第11章　反匯編32位PE文件 182
11.1　PE文件結(jié)構(gòu)不同實(shí)現(xiàn)形式的
11.1　特性 182
11.2　PE文件的一般概念與要求 183
11.3　PE文件結(jié)構(gòu) 184
11.4　PE文件的代碼插入與刪除技術(shù) 186
11.4.1　X碼概念及其他約定 186
11.4.2　X碼的目的與任務(wù) 187
11.4.3　對(duì)X碼的要求 188
11.4.4　插入 189
11.5　總結(jié) 215
第12章　反匯編Linux與BSD ELF
第12章　文件 216
12.1　所需要的工具 216
12.2　ELF文件結(jié)構(gòu) 217
12.3　在ELF文件中插入外來(lái)碼 219
12.3.1　通過合并來(lái)感染文件 220
12.3.2　通過擴(kuò)展文件的最后分區(qū)來(lái)
12.3.2　感染文件 222
12.3.3　通過壓縮部分原始文件而
12.3.3　感染文件 224
12.3.4　通過擴(kuò)展文件的代碼分區(qū)
12.3.4　而感染文件 228
12.3.5　通過下移代碼分區(qū)而感染
12.3.5　文件 231
12.3.6　通過創(chuàng)建定制分區(qū)而感染
12.3.5　文件 233
12.3.7　通過在文件與頭結(jié)構(gòu)之間
12.3.5　插入代碼而感染文件 233
12.3.8　在ELF文件中插入代碼的
12.3.5　具體實(shí)驗(yàn) 234
12.4　反匯編Linux版Tiny Crackme
12.4　程序 241
12.4.1　探析tiny-crackme 241
12.5　總結(jié) 253
第13章　反匯編x86-64程序 254
13.1　簡(jiǎn)介 254
13.2　所需要的工具 255
13.3　x86-64體系結(jié)構(gòu)概述 258
13.4　切換到64位模式 260
13.5　x86-64平臺(tái)上的“Hello, World”
13.5　程序 262　13.6　總結(jié) 267
第14章　反匯編與破解Linux內(nèi)核 268
14.1　反匯編Linux內(nèi)核 268
14.1.1　內(nèi)核的外圍話題 268
14.1.2　攻擊內(nèi)核 269
14.1.3　深入內(nèi)核 271
14.1.4　錯(cuò)誤所在位置 275
14.2　內(nèi)核攻擊秘訣 276
14.2.1　修改Linux徽標(biāo) 276
第15章　高級(jí)補(bǔ)丁技術(shù) 281
15.1　聯(lián)機(jī)補(bǔ)丁的秘密與訣竅 281
15.1.1　最簡(jiǎn)單的聯(lián)機(jī)補(bǔ)丁器 282
15.1.2　大比拼 284
15.1.3　截取作為信號(hào)的API函數(shù) 285
15.1.4　硬件斷點(diǎn) 287
15.2　幾種鮮為人知的破解客戶程序的
15.2　方法 289
15.2.1　破解客戶應(yīng)用程序的方法
15.2.1　概述 289
15.2.2　在不編輯字節(jié)的情況下進(jìn)行
15.2.2　修改 289
15.2　Windows NT/2000/XP內(nèi)核黑碼
15.2　事宜 296
15.2.1　內(nèi)核結(jié)構(gòu) 296
15.2.2　內(nèi)核類型 298
15.2.3　修改內(nèi)核的方法 300
15.2.4　修改啟動(dòng)徽標(biāo) 306
15.3　BSOD之后還有活路嗎 308
15.3.1　用SoftICE克服BSOD 309
15.3.3　這個(gè)反BSOD程序安全嗎 317
15.4　有用的鏈接 317
15.5　總結(jié) 318
第16章　反匯編其他格式的文件 319
16.1　反匯編PDF文件 319
16.1.1　Adobe Acrobat為那些不循規(guī)
16.1.1　蹈矩的人提供了什么 320
16.1.2　修改Adobe Acrobat 323
16.1.3　使用打印屏幕功能實(shí)施破解 324
16.1.4　盡量多懂幾種語(yǔ)言 324
16.1.5　PDF文件結(jié)構(gòu) 324
16.1.6　生成加密密鑰 328
16.1.7　攻擊U-密碼 329
16.1.8　如何動(dòng)手破解PDF密碼 331
16.1.9　參考資料 333
16.2　總結(jié) 333
第4篇　實(shí)用代碼探查技術(shù)
第17章　在Windows上捉迷藏 336
17.1　Windows反調(diào)試技術(shù) 337
17.1.1　歷史在不斷地重演 339
17.1.2　自跟蹤程序 340
17.1.3　基于物理內(nèi)存訪問的反調(diào)試
17.1.3　技術(shù) 345
17.1.4　Windows 2000/XP SDT Restore
17.1.3　如何工作 349
17.2　Windows世界的隱形技術(shù) 349
17.2.1　藍(lán)丸、紅丸--Windows
17.2.1　Longhorn再現(xiàn)《黑客帝國(guó)》 350
17.2.2　Blue Pill 350
17.2.3　規(guī)避數(shù)字簽名 350
17.2.4　沉迷于虛擬世界 352
17.2.5　Red Pill 355
17.3　總結(jié) 357
第18章　攻克打包器 358
18.1　初步的分析 358
18.2　解包與其他方法 361
18.3　解包算法 361
18.4　搜索原始入口點(diǎn) 362
18.4.1　活動(dòng)程序轉(zhuǎn)儲(chǔ) 362
18.4.2　通過內(nèi)存中的簽名搜索啟動(dòng)
18.4.2　代碼 364
18.4.3　流行但低效的工具
18.4.2　GetModuleHandleA與fs:0 365
18.4.4　解包器的副作用 369
18.4.5　基于堆棧平衡找到OEP的
18.4.2　通用方法 372
18.4.6　如果調(diào)試器跳過了解包器
18.4.2　入口點(diǎn)怎么辦 375
18.5　轉(zhuǎn)儲(chǔ)受保護(hù)的應(yīng)用程序 377
18.5.1　簡(jiǎn)單轉(zhuǎn)儲(chǔ)案例 377
18.5.2　自行搜索 381
18.5.3　從外部查看轉(zhuǎn)儲(chǔ)內(nèi)容 382
18.5.4　動(dòng)態(tài)解密機(jī)制 383
18.5.5　對(duì)內(nèi)部數(shù)據(jù)進(jìn)行轉(zhuǎn)儲(chǔ) 384
18.5.6　糟糕的處事手法 386
18.6　總結(jié) 388
第19章　攻克代碼混編 389
19.1　混碼器如何發(fā)揮作用 390
19.2　如何破解混編程序 394
19.2.1　解除代碼混編 395
19.3　黑盒方法 397
19.4　虛擬機(jī)牢籠 398
19.5　總結(jié) 399
第20章　攻克Linux與BSD打包器 400
20.1　打包器對(duì)性能的影響 400
20.2　ELFCrypt 401
20.3　UPX 408
20.4　Burneye 410
20.5　Shiva 413
20.6　打包器的比較 414
20.7　總結(jié) 415
第21章　調(diào)試與反匯編惡意軟件 416
21.1　反制調(diào)試器反監(jiān)視 416
21.1.1　時(shí)間也會(huì)留下印記 416
21.1.2　進(jìn)程樹 418
21.1.3　查看線程 420
21.1.4　恢復(fù)系統(tǒng)服務(wù)表 426
21.2　攻擊程序的核查與反匯編 430
21.2.1　如何反匯編攻擊程序 431
21.2.2　分析消息排隊(duì)攻擊程序 432
如何在調(diào)試器下運(yùn)行外殼碼 443
參考文獻(xiàn) 444
總結(jié) 444