《逆向工程核心原理》相关说明


 


致亲爱的中国读者:

大家好 !我是《逆向工程核心原理》 作者 李承远(ReverseCore)。

(韩文博客地址:www.reversecore.com)

首先,很高兴我的《逆向工程核心原理》-书在中国IT强国出版。我以前是C/C++开发工程师,后来有机会加入安全公司并从事恶意代码分析工作,从此开始对逆向技术进行深入研究。熟悉逆向技术就能轻松了解程序内部结构,这让我逐渐沉醉于逆向技术的魅力。所以想与大家分享我所知的逆向技术知识,这就是本书的缘起。
《逆向工程核心原理》这本书是针对初学者而写的,本书为各位提供了很多实际调试过程的截图、源代码、示例文件等,能够帮助理解。本书于2012年9月在韩国上市后
很多学校、IT培训班以及安全公司的新职员恶意代码分析培训等都在使用此书。读完这本书后希望所有读者都能成为一名优秀的逆向分析专家。


书中所有示例文件均为正常代码,部分示例文件使用程序的壳、反调试等技术可能会被部分杀毒软件误报为病毒。各位不必对此感到担心,请放心使用。

注意事项:

1.示例文件使用的UPack壳可能会被杀毒软件诊断为病毒,Upack 壳对PE结构整体进行一定修改以达到最大压缩率,所以Upack壳也常用于很多病毒木马使用。因此,大部分杀毒软件也有可能把Upack壳本身诊断为病毒。然而PE文件相关讲解中,UPack之类的优秀示例较少,所以为了详细介绍逆向技术,书中忽略杀毒软件诊断规范。
2.“高级逆向”、”反调试” 技术示例文件可能会被诊断为病毒。示例文件中使用的技术与部分病毒使用的技术类似,因此,反病毒产品启发式引擎(启发式技术=启发式扫描+启发式监控)会检测到特征码,从而把示例文件诊断为病毒。
3.部分示例文件使用反调试SHE,TLS 回调等技术,这些技术可能会被杀毒公司自动化系统诊断为病毒。但请大家放心,示例文件都是正常。
4.简单介绍一下恶意代码基本含义。恶意代码是指未经过用户许可的情况下,在用户计算机或其它终端安装运行收集用户信息、泄漏用户信息等有恶意行为的软件。示例文件中全部都是以学习研究反调为目的而使用到的一些特定技术并无恶意行为。
5.鉴于其他杀毒软件的诊断,各位调试示例样本时最好暂时关闭杀毒软件的"实时监控”功能,调试学习结束后,再开启。
6.Windows7环境下调试时,建议关闭UAC(User Access Control)功能以便调试。


源代码 

* 所有示例文件源代码均使用 MS Visual C++ Express 2010工具开发而成。

* 编译后的文件根据用户环境而略有差异。

* 为便与调试,请使用以下源代码。

* 下载地址  : http://download.csdn.net/download/u014769426/7214171

* 解压密码  :reversecore

 

实践示例代码

* example_ex.zip文件双重压缩是为了避免杀毒软件的实时扫描。
* 第五部分“64位&Windows Kernel 6”中的示例文件需要在Windows XP/Vista/7 64位系统中运行。
* 其余所有示例文件均可在MS Windows XP SP3 32位&Windows 7 32位系统中实现。
* 下载地址 :http://download.csdn.net/detail/u014769426/7214337 双重压缩(第一次解压会看到exsample.zip,再次解压exsample.zip文件即可)
* 解压密码 :reversecore

附加:恶意代码分析相关工具大全以及恶意代码检测网站chichoo博客 -> http://blog.csdn.net/chichoo/article/details/23352431 - 复制网址

 *无法下载或者对杀毒软件诊断有疑问请留言。

《逆向工程核心原理》讨论QQ群: 338185175



 

 

 




Reversing--逆向工程揭密/安全技术大系 本书描述的是在逆向与反逆向之间展开的一场旷日持久的拉锯战。作者Eldad Eilam以一个解说人的身份为我们详尽地评述了双方使用的每一招每一式的优点与不足。   书中包含的主要内容有:操作系统的逆向工程;.NET平台上的逆向工程逆向未公开的文件格式和网络协议;逆向工程的合法性问题;拷贝保护和数字版权管理技术的逆向工程;防止别人对你的代码实施逆向工程的各种技术;恶意程序的逆向工程;反编译器的基本原理以及它对逆向过程的影响。   本书适合软件逆向工程的从业人员以及软件开发者们阅读。 译者序回到顶部↑  记得第一次做与逆向有关的工作是2000年,当时由于项目的需要,做过一个钩子(hook)程序,用于截获一个第三方控件发出的消息,但是当时还不知道什么是逆向工程。第一次看到“逆向工程”这个词是在2001年的机械工程学报上的一篇文章中,主要是讲用三坐标测量仪测量产品中各个部件的三维尺寸并在计算机中快速建模、进而反推其设计思想和基本设计原则。第一次使用逆向工程工具也是在2001年,当时从网上下载了Numega SoftICE,具体哪个版本已经记不清了,在家里的旧电脑上折腾了好几天,直到系统崩溃才罢手。.   之后呢,只是零零星星地看过一些相关的资料。因此,当初电子工业出版社和我联系此书的翻译时,我有些犹豫——近600页的逆向工程“巨”著,而且该书无论从深度还是广度上都较其他有关逆向工程的书更胜一筹。但褚华博士和王玉英博士的“加盟”,让我心里踏实了许多,她俩做过系统的逆向工程和程序理解的研究工作,也发表过不少相关的研究论文。   逆向工程这一术语最早来源于机械工程领域(我的老本行)。随着软件业的发展,逆向工程被引入软件工程领域。对于软件逆向工程,IEEE软件工程技术委员会行政秘书E. J. Chikofsky和J. H. Cross在他们的文章中给出了如下定义:软件逆向工程是分析目标系统,认定系统的组件及其交互关系,并且通过高层抽象或其他的形式来展现目标系统的过程。..   经过十几年的发展,软件逆向工程领域已有不少研究成果和商业化的产品;但是软件逆向工程仍然算不上成熟,这主要表现在对理论和实践的研究都还处于早期的探究阶段,并未形成统一的、系统的、科学的软件逆向工程的理论和方法。从工程实际的角度来看,大体上可以将软件逆向工程分为两大类:   第一类是从已知软件系统的完整代码出发,生成对应系统的结构以及相关设计原理和算法思想的文档。实际上,学习和研究别人的源代码就属于此类。Chikofsky在本书的序中特别指出:阅读别人写的代码或者自己以前写的代码实际上也是逆向工程在起作用。   第二类是从没有源代码的程序出发,生成对应的源程序、系统结构以及相关设计原理和算法思想的文档等,亦即本书重点讨论的二进制逆向工程。   本书共有13章和三个附录,涵盖了逆向工程的基础知识、应用、开发和拓展的方方面面问题。其中第5章、第9章和附录A、B、C由韩琪翻译,第3章、第11章和第13章由杨艳翻译,第7章、第8章和第10章由王玉英翻译,第4章和第6章由李娜翻译,第1章由褚华翻译,第2章由陈贵敏翻译,第12章由辛健斌翻译;全部译稿的校对由陈贵敏和褚华完成。所有的翻译和校对工作历时半年多,在此,我要感谢为本书的出版付出辛勤汗水的电子工业出版社博文视点的工作人员,特别要感谢本书的策划编辑朱沭红老师和责任编辑顾慧芳老师,她们的严谨认真工作使该译本可读性更高,她们的鼓励更使我信心百倍。   由于译者水平所限,加之时间仓促,译文中肯定存在错误和疏漏,敬请读者批评指正。我的E-mail:efoxxx@126.com。   陈贵敏   2007年5月于西安电子科技大学...             前言回到顶部↑  欢迎你阅读逆向逆向工程揭密一书。本书是在我参与了多年的软件开发项目之后写的,这些项目由于各种各样的原因需要反复地对第三方代码进行逆向工程。起初,我觉得这是一个非常单调乏味的过程,只是在没有替代方法来获取信息的情况下才不得已使用它。后来,一霎那间我破除了某个思维障碍,我发现自己迅速地“驰骋”于无正式文献记录的机器码中,快速地破译了代码的涵义并得到我想要的有关代码功能和用途的答案。这时候,我逐渐明白这是一种威力强大的技术,因为这意味着不管我有什么样的有关要处理软件的问题,我都可以非常容易地找到答案,即使我没有看过任何相关的文献资料或者正在处理的程序的源代码。本书就是要为每一个对软件有深刻理解的读者能够这样做提供相关的知识和技术。.   其思想很简单:我们应当对底层软件有深入的理解,还要学习那些能够让我们轻松进入任何程序的二进制码并获取信息的技术。不知道系统为什么会以它那样的工作方式运转而且其他人也不知道答案的话,怎么办?没问题——你完全可以自己深入研究并找到答案。这听起来有点恐怖和不现实,是吗?一点儿也不,我写这本书的目的就是向你讲解并示范平常就可以用于解决各种各样问题的逆向工程技术。   不过我总是急于求成。也许你以前没有接触过软件逆向工程的概念,我在这里先简要介绍一下。   逆向工程和底层软件   在开始进入本书所讨论的各部分内容之前,我们应当正式地介绍一下该书的主题:逆向工程逆向工程是指将工程制品(比如汽车、喷气发动机或者软件程序)以揭示其最底层的细节(如其设计和架构)的方式进行解构的过程。这与研究自然现象的科学研究有些类似,区别就在于一般没有人会把科学研究看做逆向工程,这仅仅是因为没有人确切地知道自然算不算是工程制品。   对软件而言,逆向工程归结起来就是拿一个既没有源代码又没有准确文献资料的现成程序,尝试恢复出它的设计和实现细节。在某些情况下,可以找到程序的源代码,但是找不到最初的开发人员了。本书所讨论的就是通常所说的二进制逆向工程。二进制逆向工程技术的目标是从没有源代码的程序中提取有价值的信息。在有些情况下可以从程序的二进制代码中恢复出准确的源代码(或者接近高级表示的代码),这会大大简化逆向工作,因为阅读用高级语言写的代码要比阅读低级汇编语言代码容易得多。在其他情况下,我们最终得到的只是用晦涩难懂的汇编语言程序清单。本书将讲述这一过程以及程序为什么这样运行,同时还将详细描述如何在各种不同的环境中破解程序代码。   我决定将这本书取名为“逆向(Reversing)”,这一叫法被许多在线社区用来描述逆向工程。因为你可以把逆向看做是逆向工程的别名,故我将在本书中交换使用这两种叫法。   大多数人在尝试想像从可执行二进制程序中提取有意义的信息的时候会变得有些焦虑,因此,我把这本书的首要任务定为证明这种害怕是没有必要的。二进制逆向工程如果行得通的话,它通常能解决用其他方法解决起来极其困难的问题,而且如果方法得当的话它也没有你想像的那么复杂。   本书主要讨论逆向工程,但事实上书中所讲述的内容要比逆向工程多得多。在软件行业内,逆向工程被频繁地应用于各种场合,本书的主要目标之一就是在讲授逆向工程的同时研究这些领域。   下面简要地列出了本书要讨论的一些主题:   IA-32兼容处理器的汇编语言以及如何阅读编译器生成的汇编语言代码;   操作系统内幕以及如何对操作系统实施逆向工程;   .NET平台上的逆向工程,包括.NET开发平台的简介及.NET平台汇编语言:MSIL(Microsoft中间语言);   数据逆向工程:如何破译未公开的文件格式或者网络协议;   逆向工程的合法性问题:什么情况下是合法的,什么情况下是非法的?   拷贝保护和数字版权管理技术;   破解人员是如何应用逆向工程使拷贝保护技术失效的;   防止人们对代码实施逆向工程的技术并认真尝试评价这些技术的有效性;..   目前恶意程序的基本原理以及如何应用逆向工程研究并清除这样的程序;   一个真实恶意程序的现场剖析和展示,以及揭示了攻击者是怎样通过程序通信获得被感染系统的控制权的; .  反编译器背后的理论和原则,以及它们对各种低级语言代码进行反编译的有效性。   本书的组织   本书共分四部分。第1部分提供了学习后边部分所需的基础知识,其他三个部分分别讲述了不同的逆向工程情景,并展示了真实的案例研究。每一部分的详细描述如下。   第1部分—逆向101:本书是从讨论理解底层软件所需的所有基础知识开始的。你必定能想像到,这几章不可能包含所有相关的知识,你只需将这些内容看作是对以前学过的材料重新整理。如果本书前三章讲述的所有内容或者大部分内容对你来说都是全新的,那么这本书不适合你。这几章的主要内容有:介绍了逆向工程及其各种应用(第1章),底层软件的概念(第2章),并以Microsoft Windows为重点介绍了操作系统内部结构(第3章)。总的来说,如果你精通这些内容以及底层软件,你基本上可以跳过这几章。第4章讨论了各种类型的常用逆向工程工具,并为各种情况推荐了适合的专用工具。这些工具的大部分都在本书展示的逆向工程实例过程中使用过。   第2部分——应用逆向:本书的第2部分演示了在真正的软件上实施的逆向工程项目。这部分的每一章分别讨论一种不同类型的逆向工程应用。第5章讨论了最常见的情境——对操作系统或第三方代码库进行逆向工程,以便更好地利用它的内部服务和API。第6章展示了如何应用数据逆向工程技术破解无正式文档记录的专用文件格式。第7章展示了漏洞研究人员如何使用逆向工程技术在二进制代码可执行程序中寻找漏洞。这部分的最后一章,第8章讨论了恶意软件,如病毒和蠕虫,并简要介绍了这一内容。这一章还展示了对真正的恶意程序进行逆向工程的实例过程,这实际上就是恶意软件研究人员为了研究恶意程序、估计它们带来的危险、并研究如何清除它们所必须经历的过程。   第3部分——盗版和拷贝保护:这一部分主要讨论与安全相关的代码的逆向工程,如拷贝保护和数字版权管理(Digital Rights Management,DRM)技术。第9章简要介绍了盗版和拷贝保护并讨论了拷贝保护技术的基本原则。第10章讲述了反逆向工程技术,如在拷贝保护和DRM技术中常常采用的技术,并评价它们的有效性。第11章讨论了“破解者”是怎样使用逆向工程破解拷贝保护机制并窃取拷贝保护内容的。   第4部分——反汇编之外:本书的最后部分所讲述的内容已经超出了可执行程序的简单反汇编。第12章讨论了在Microsoft .NET开发平台上开发的虚拟机程序的逆向工程过程。这一章简单介绍了.NET平台及其低级的汇编语言MSIL(Microsoft 中间语言,Microsoft Intermediate Language)。第13章论讨论了有关反编译的更理论化的主题,并说明了反编译器是怎样工作的以及反编译本地汇编语言代码为什么那么具有挑战性。   附录:本书共包含三个附录,可以作为破解Intel IA-32汇编语言程序的有价值的参考资料。这几个附录远远超出了简单的汇编语言参考向导,讲述了公共代码段(common code fragments)和常用编译器对几种典型的代码序列表现出来的编译器习性(complier idioms),并介绍了识别和破解它们的方法。   谁应当阅读此书   本书所揭示的技术能够让各行各业的人受益。软件开发人员想要提高他们对软件底层知识的理解:如操作系统、汇编语言、编译,等等,这本书无疑会让他们受益匪浅。更重要的是,该书能够让所有对开发技术感兴趣的人们快速而高效地研究和考察现有代码,不管是操作系统代码、软件库代码还是软件组件代码。除了这些技术以外,本书还提供了诸如安全、版权控制等许多主题的精彩讲述。即使对逆向工程不是很感兴趣,只是在书中找到一处或多处感兴趣的内容,你就可能从中获益。   就预修知识而言,本书涉及到一些相当高级的技术材料,我已经试着尽可能让它们在内容上保持独立。所需的大多数基础知识都包含在本书的第1部分中。当然,要想真正从本书中获益,你还得有一定的软件开发知识和经验,这也是很重要的。如果你一点专业的软件开发经验都没有,但是现在正在学习这方面的知识,那也为时不晚。相反地,如果你没有正规地学习过计算机,只做过几年的程序设计,那你也可能从本书中获益。   最后,对于那些已经具有底层软件和逆向工程经验的高级读者而言,他们希望学习一些有趣的高级技术和如何从现有代码中提取非常详细的信息,本书也会对他们有所帮助。   工具和平台   实施逆向工程需要各种各样的工具。本书通篇介绍和讨论了大量这样的工具,而且我有意地在大部分范例中使用免费工具,这样读者就可以照着范例实践而不需要在工具上花费数千美元了。需要指出的是,在某些情况下,大型的逆向工程项目会从这些昂贵的工具中受益匪浅。我试着为每个相关的工具提供尽量多的信息,并展示每个工具对逆向过程的影响。项目是否值得花钱去买工具,最终的决定权还在读者手里。   逆向工程通常是平台相关的,它会受到具体的操作系统和所用的硬件平台的影响。本书中使用的主要操作系统是Microsoft Windows,而且我有很好的理由来说明为什么选择Microsoft Windows。Windows是最流行的逆向工程环境,这不仅仅是因为它是最流行的操作系统。例如,受人欢迎的Windows替代品——开放源码的Linux,准确地讲它与逆向的立场相去甚远,因为整个操作系统以及在其上运行的大部分软件的源代码都是开放的。逆向开发源码的产品是没有意义的——直接读源代码就好了,或者还有更好的办法——咨询原开发者,没有什么秘密可言。   本书网站上有什么   你可以访问本书的网站http://www.wiley.com/go/eeilam,上面有书中所有的示例程序。在网站上我还增加了链向本书讨论过的各种文章、产品以及在线资源的链接。   从哪里开始学习?   本书是按照从开始到结尾顺序阅读的方式写作的。当然,有些人可能更愿意挑选感兴趣的章节阅读,对他们来说这样获益更多。就从哪里开始而言,不考虑你的背景,我建议你先读一下第1章,以确保你了解本书所涉及的所有基本的与逆向工程相关的资料。如果你没有很好的逆向工程和底层软件经验的话,我强烈建议你按照本书的“自然”顺序阅读,最起码前两部分要这样做。   如果你经验丰富,并觉得自己精通软件开发和操作系统的话,或许你可以直接跳到第4章开始学习逆向工程工具。...
评论 27 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

reversecore

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值