第1部分 逆向 101
第1章 基础 3
1.1 什么是逆向工程 3
1.2 软件逆向工程:逆向 4
1.3 逆向应用 4
1.3.1 与安全相关的逆向 5
1.3.2 软件开发中的逆向 8
1.4 底层软件 9
1.4.1 汇编语言 10
1.4.2 编译器 11
1.4.3 虚拟机和字节码 12
1.4.4 操作系统 13
1.5 逆向过程 13
1.5.1 系统级逆向 14
1.5.2 代码级逆向 14
1.6 工具 14
1.6.1 系统监控工具 15
1.6.2 反汇编器 15
1.6.3 调试器 15
1.6.4 反编译器 16
1.7 逆向合法吗? 17
1.7.1 互操作性 17
1.7.2 竞争 18
1.7.3 版权法 19
1.7.4 商业机密和专利权 20
1.7.5 美国数字千禧版权法 20
1.7.6 DMCA案例 22
1.7.7 许可证协议 23
1.8 代码范例与工具 23
1.9 结论 23
第2章 底层软件 25
2.1 高阶视角 26
2.1.1 程序结构 26
2.1.2 数据管理 29
2.1.3 控制流 32
2.1.4 高级语言 33
2.2 低阶视角 37
2.2.1 底层数据管理 37
2.2.2 控制流 43
2.3 汇编语言101 44
2.3.1 寄存器 44
2.3.2 标志位 46
2.3.3 指令格式 47
2.3.4 基本指令 48
2.3.5 范例 52
2.4 编译器和编译入门 53
2.4.1 定义编译器 54
2.4.2 编译器架构 55
2.4.3 列表文件 58
2.4.4 专用编译器 59
2.5 执行环境 60
2.5.1 软件执行环境(虚拟机) 60
2.5.2 现代处理器的硬件执行环境 63
2.6 结论 68
第3章 Windows基础知识 69
3.1 组件及基本架构 70
3.1.1 简要回顾 70
3.1.2 特征 70
3.1.3 支持的硬件 71
3.2 内存管理 71
3.2.1 虚拟内存和分页 72
3.2.2 工作集 74
3.2.3 内核内存和用户内存 74
3.2.4 内核内存空间 75
3.2.5 区段对象 77
3.2.6 VAD树 78
3.2.7 用户模式的内存分配 78
3.2.8 内存管理API 79
3.3 对象与句柄 80
命名对象 81
3.4 进程与线程 83
3.4.1 进程 84
3.4.2 线程 84
3.4.3 运行状态切换 85
3.4.4 同步对象 86
3.4.5 进程初始化顺序 87
3.5 应用程序编程接口 88
3.5.1 Win32 API 88
3.5.2 本地API 90
3.5.3 系统调用机制 91
3.6 可执行文件格式 93
3.6.1 基本概念 93
3.6.2 映像区段(Image Sections) 95
3.6.3 区段对齐(Section Alignment) 95
3.6.4 动态链接库 96
3.6.5 头部 97
3.6.6 导入与导出 99
3.6.7 目录 99
3.7 输入与输出 103
3.7.1 I/O系统 103
3.7.2 Win32子系统 104
3.8 结构化异常处理 105
3.9 结论 107
第4章 逆向工具 109
4.1 不同的逆向方法 110
4.1.1 离线代码分析 110
4.1.2 现场代码分析 110
4.2 反汇编器——ILDasm 110
4.3 调试器 116
4.3.1 用户模式调试器 118
4.3.2 内核模式调试器 122
4.4 反编译器 129
4.5 系统监控工具 129
4.6 修补工具 131
Hex Workshop 131
4.7 其他类型的逆向工具 133
可执行程序转储工具 133
4.8 结论 138
第2部分 应用逆向 141
第5章 未公开的技术 141
5.1 逆向和互操作性 142
5.2 基本原则 142
5.3 定位未公开的API函数 143
我们要找什么? 144
5.4 案例研究:NTDLL.DLL中的Generic Table API 145
5.4.1 RtlInitializeGenericTable 146
5.4.2 RtlNumberGenericTableElements 151
5.4.3 RtlIsGenericTableEmpty 152
5.4.4 RtlGetElementGenericTable 153
5.4.5 RtlInsertElementGenericTable 168
5.4.6 RtlLookupElementGenericTable 188
5.4.7 RtlDeleteElementGenericTable 193
5.4.8 思路整理 194
5.5 结论 196
第6章 破译文件格式 199
6.1 Cryptex 200
6.2 使用Cryptex 201
6.3 逆向Cryptex 202
6.4 口令校验过程 207
6.4.1 捕获“Bad Password”消息 207
6.4.2 口令变换算法 210
6.4.3 对口令作hash处理 213
6.5 目录结构 218
6.5.1 分析目录处理代码 218
6.5.2 分析文件项 223
6.6 转储目录结构 227
6.7 文件提取过程 228
6.7.1 扫描文件列表 234
6.7.2 解密文件 235
6.7.3 浮点运算代码 236
6.7.4 解密循环 238
6.7.5 验证Hash值 239
6.8 要点总结 239
6.9 进一步讨论 241
6.10 结论 242
第7章 审查程序的二进制码 243
7.1 定义问题 243
7.2 漏洞 245
7.2.1 堆栈溢出 245
7.2.2 堆溢出 255
7.2.3 字符串过滤程序 256
7.2.4 整数溢出 256
7.2.5 类型转换错误 260
7.3 案例研究:IIS索引服务漏洞 262
7.3.1 CVariableSet∷AddExtensionControlBlock 263
7.3.2 DecodeURLEscapes 267
7.4 结论 271
第8章 逆向恶意软件 273
8.1 恶意软件的分类 274
8.1.1 病毒 274
8.1.2 蠕虫 274
8.1.3 特洛伊木马 275
8.1.4 后门 276
8.1.5 移动代码 276
8.1.6 广告软件和间谍软件 276
8.2 粘人的软件(Sticky Software) 277
8.3 未来的恶意软件 278
8.3.1 盗取信息的蠕虫 278
8.3.2 BIOS/固件恶意软件 279
8.4 恶意软件的使用 280
8.5 恶意软件的弱点 281
8.6 多态 282
8.7 变形 283
8.8 建立安全的环境 285
8.9 Backdoor.Hacarmy.D 285
8.9.1 脱壳可执行文件 286
8.9.2 初次印象 290
8.9.3 初次安装 291
8.9.4 初始化通信设置 294
8.9.5 连接到服务器 296
8.9.6 连接信道 298
8.9.7 与后门进行通信 299
8.9.8 运行SOCK4服务器 303
8.9.9 清理犯罪现场 303
8.10 The Backdoor.Hacarmy.D:命令参考 304
8.11 结论 306
第3部分 破解 309
第9章 盗版与拷贝保护 309
9.1 世界中的版权 309
9.2 社会方面 310
9.3 软件盗版 310
9.3.1 明确问题 311
9.3.2 群破解 312
9.3.3 需求 313
9.3.4 理论上不可破解的模型 314
9.4 各种类型的保护 314
9.4.1 基于介质的保护 314
9.4.2 序列号 315
9.4.3 质询响应和在线激活 315
9.4.4 基于硬件的保护 316
9.4.5 软件即服务 317
9.5 高级保护的概念 318
加密处理器 318
9.6 数字版权管理 319
数字版权管理模型 320
9.7 加水印 321
9.8 可信计算 322
9.9 破解拷贝保护技术 324
9.10 结论 324
第10章 反逆向技术 327
10.1 为什么要反逆向? 327
10.2 反逆向的基本方法 328
10.3 消除符号信息 329
10.4 代码加密 330
10.5 活跃的反调试器技术 331
10.5.1 调试器基础 331
10.5.2 API函数IsDebuggerPresent 332
10.5.3 SystemKernelDebugger Information 333
10.5.4 用单步中断检测SoftICE 334
10.5.5 陷阱标志 335
10.5.6 代码校验和 335
10.6 迷惑反汇编器 336
10.6.1 线性扫描反汇编器 337
10.6.2 递归遍历反汇编器 338
10.6.3 应用 343
10.7 代码混淆 344
10.8 控制流变换 346
10.8.1 暗晦谓词 346
10.8.2 迷惑反编译器 348
10.8.3 表译码 348
10.8.4 内联和外联 353
10.8.5 交叉代码 354
10.8.6 次序变换 355
10.9 数据变换 355
10.9.1 修改变量编码 355
10.9.2 重构数组 356
10.10 结论 356
第11章 突破保护 357
11.1 修补程序(Patching) 358
11.2 生成密钥 364
11.3 取密钥生成算法 365
11.4 高级破解:Defender 370
11.4.1 逆向Defender的初始化程序 377
11.4.2 分析解密后的代码 387
11.4.3 SoftICE的消失 396
11.4.4 逆向分析第二个线程 396
11.4.5 击败“杀手(Killer)”线程 399
11.4.6 加载KERNEL32.DLL 400
11.4.7 再加密函数 401
11.4.8 回到入口点 402
11.4.9 解析程序的参数 404
11.4.10 处理用户名 406
11.4.11 验证用户信息 407
11.4.12 解密代码 409
11.4.13 暴力破解Defender 409
11.5 Defender中的保护技术 415
11.5.1 局部化的函数级加密 415
11.5.2 混淆应用程序与操作系统之间的接口 416
11.5.3 处理器时间戳验证线程 417
11.5.4 在运行时生成解密密钥 418
11.5.5 重度内联 419
11.6 结论 419
第4部分 反汇编之外 423
第12章 逆向.NET 423
12.1 基本原则 424
12.2 .NET基础 426
12.2.1 托管代码 426
12.2.2 .NET程序设计语言 428
12.2.3 通用类型系统 428
12.3 中间语言 429
12.3.1 求值堆栈 430
12.3.2 活动记录 430
12.3.3 IL指令 430
12.3.4 代码实例 433
12.4 反编译器 443
12.5 混淆器 444
12.5.1 重命名符号 444
12.5.2 控制流混淆 444
12.5.3 中断反编译与中断反汇编 444
12.6 逆向混淆代码 445
12.6.1 XenoCode混淆器 446
12.6.2 DotFuscator by Preemptive Solutions 448
12.6.3 Remotesoft混淆器与连接器 451
12.6.4 Remotesoft Protector 452
12.6.5 预编译的汇编程序 453
12.6.6 加密的汇编程序 453
12.7 结论 455
第13章 反编译 457
13.1 本地代码的反编译:是一个解决不了的问题吗? 457
13.2 典型的反编译器架构 459
13.3 中间表示 459
13.3.1 表达式和表达式树 461
13.3.2 控制流图 462
13.4 前端 463
13.4.1 语义分析 463
13.4.2 生成控制流图 464
13.5 代码分析 466
13.5.1 数据流分析 466
13.5.2 类型分析 472
13.5.3 控制流分析 475
13.5.4 查找库函数 475
13.6 反编译器后端 476
13.7 Real-World IA-32反编译 477
13.8 结论 477
附录A 揭密代码结构 479
附录B 理解编译后的算术运算 519
附录C 破译程序数据 537
索引 561