转自:http://user.qzone.qq.com/37803144/blog/1232362170#!app=2&via=QZ.HashRefresh&pos=1232362170
2006年,我工作时的座位坐在wowocock旁边。wowocock写代码的时候代码风格一团糟。满篇都是混乱型的命名、超级跨全工程的全局变量,诡异的跳转。而且屡教不改。但是调程序却很牛,开着WinDbg,基本上不用看源码,也知道发生了什么。
因为不用看源码,所以看Windows内核原有的代码和看自己的代码基本没有太大的区别,只要别跟太远。这样就获得了远远超出一般只能看懂C语言的程序员的能力。许多问题没有前人的指点也可以自己解决。而且能做出很多别人做不出来的事来。
有时候碰到一些问题,比如说在WindowsXP有,但是Windows2000下没有的调用。一般人也就直接放弃了。但是他却会自己去跟踪了XP下调用的实现,然后在2000下写一个替代品出来。其实在安全软件领域,反汇编、自己patch、和crack早已经大行其道。无论你站在邪恶破坏的一方,还是站在正义安全的一方,都不得不这样做。因为应用层病毒的时代早就过去了,rootkit的时代到来了。
这里涉及的到其实是一个理解调试器里的汇编语言的能力的问题。你可以觉得那些rootkit牛人的技术有多强,他们知道很多对你来说闻所未闻的东西。但是实际上他们也可以对你说这其实很简单。因为答案就在调试器窗口里的那堆汇编里。
虽然我大学毕业的时候已经是2002年,但是大学里的汇编语言教材却还停留在8086阶段。无法理喻这种落后性。从实模式编程到保护模式编程是一个飞跃,这个过程在从DOS进化到Windows9X的时候就已经发生。然而我在大学期间里却只学到了实模式的编程,以简单的观念看待X86的CPU,甚至不知道Ring0和Ring3的切换,本质也就是不知道应用与内核的区别。
实际上大部分程序员都是如此。很可能一生都不会再次去接触那一堆汇编语言。当程序崩溃调试器崩出来一堆非C语言的东西,那些只是天书而已。当场关闭然后回头去猜测问题可能出现在哪里。如果猜不出来,那么就可以放弃了。其实原因并不是因为我们懒惰,而是因为我们所学的东西没有实际用途。一件好东西如果没有用,就像是屠龙宝刀,如果没有龙可以屠,那就只是废铁一块。显然很少有人再去写实模式下的程序了(更何况是汇编)。而我们急需要做的事情,又不是我们所学能解决得了的。
很多朋友很想学习内核编程。因为这听起来更酷。是真的。这很有趣,而且又可以好好的复习一下汇编语言,让废铁重新变成宝刀,那何乐而不为呢。内核编程和应用编程的区别在于,内核总是运行在复杂的条件下。一个应用程序只要在自己的进程空间内放心大胆的跑就行了。就算出一点问题,程序崩溃了,问题当然是在这个进程之中了。让我们瓮中捉鳖吧。内核则不同。内核的代码可能运行在系统中所有的进程和线程环境下。而且是同时的。内核模块之间互相调用,和硬件交互。等待中断,发出指令让CPU进行种种“热身”。当问题发生,操作系统将会崩溃。WinDbg将会向您展示真正的天书,记载着Windows在最后崩溃瞬间的状况。OK,我们不是MS的程序员,不可能看到秒钟在停止前指向某一行C语言代码。唯一值得庆幸的是:它们曾今是C语言代码,只是经过编译了。
学习了wowowock多年的调试经验,我和他合写了那本在网上流传的《天书夜读》。我个人感觉汇编在应用程序的编程中作用不大。因为应用编程环境相对简单,而且代码规模宏大得多。而内核往往是小巧而精致的。期望只懂C语言就搞定自己编写的内核模块中的BUG显得不太现实。当然我不排除有这样的可能。但是当我们宝刀在手,Windows内核的天书直接向我们放开阅读时,还有什么能难得住我们的呢?我非常感谢博文视点的朋友,最终将《天书夜读:从汇编语言到Windows内核编程》正式出版。相信更多的程序员同行和爱好者,会因此打开全新视野的大门。
1336
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
