tyler_download的专栏

原创 ELF文件的符号表和函数调用追踪(视频版)

原创 内核级病毒与木马攻防：ELF文件的符号表和函数调用追踪

熟悉编译原理的同学一定了解何为符号，所谓符号其实是一种数据结构，用来描述编程语言中定义的特定对象。例如编程语言中定义的变量，函数都有特定的符号用于描述他们的性质。例如变量对应的符号中包含了变量对应的字符串名称，变量的类型，以及变量对应的内存。函数对应的符号包含了函数名称字符串，函数的返回值类型，函数入口内存地址等，在代码调试时，你把鼠标挪动到变量所在位置，IDE就给你显示出变量当前的取值等信息，这些信息就来自变量对应的符号，我在有关编译原理的两门课程里对符号有非常深入的讲解。在elf文件中存在两种符号表，

原创 内核级病毒与木马攻防:windows可执行文件结构解析及常用工具

大多数人使用windows系统，相必对其.exe结尾的文件印象深刻，执行任何程序时，你双击该文件即可，这个文件就是系统的可执行文件，我们需要了解其组成结构才能对其进行侵入，劫持或注入恶意代码。.exe文件也叫PE文件，它由一系列段头和段来组成。它一开始是一系列段头数据结构，用于描述各个段的相关性质，接下来就是包含代码和数据的各种段。有几个段特别值得注意，.text段包含CPU可以执行的指令，其他所有段包含数据或者是辅助CPU执行该段里面指令的相关信息，这个段是唯一包含可执行代码的段。.rdata包含引入和

原创 内核级木马与病毒攻防：Linux可执行文件的ELF格式描述

要想在Linux系统上实现逆向工程，分析，设计或查杀病毒和恶意代码，你不得不深入掌握其可执行文件的ELF格式，这样你才能了解进程在内存空间的布局和运行的基本规律，这样你才能有针对性的设计有效的病毒或恶意代码入侵系统。ELF文件主要有以下几种类型，ET_NONE表示该文件的作用未知；ET_REL表示重定向文件或叫目标文件，它们将会被链接并加装到某个指定的虚拟内存位置，常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件，它是由多个.o文件链接起来，可以被加载到内存进行执行的进程数据文件；

原创 内核级木马与病毒攻防:windows恶意代码分析入门

本节帮助读者入门windows上如何对恶意软件或病毒做初步分析。分析分两种，一种叫静态分析，也就是通过直接读取病毒或恶意程序的可执行文件来分析它的运行原理，一种是动态分析，也就是在病毒或恶意程序正在运行的情况下，监视其一举一动，通过观察它在系统中的运行情况来分析它的目的和原理。本节介绍基本的静态分析方法，该方法简单易行，但作用有限，要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一种方法就是直线读取病毒或恶意程序的可执行文件，从中抽取关键信息。很多病毒或恶意程序的作者为了快速实现其非法目的

原创 Linux内核级木马与病毒攻防：基础工具介绍

欲成其事先利其器。要想完成一项复杂的任务，工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序，我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。第一个当然是gdb了，在Linux上，它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时，必须使用gdb作为手术刀，对要研究的病毒和木马进行”剖尸检验“，通过gdb调查木马或病毒的代码设计方法，同时也使用gdb加载恶意代码，研究其运转流程。第二个是objdump，它的

原创 发刊词：做一个既“酷”又性格的黑客

任何一个热爱技术的程序员都渴望自己成为一名了不起的黑客。一来黑客的形象相当酷，在众多好莱坞大片中，黑客往往是电影的主角或是关键人物，获得极大的聚焦，例如《黑客帝国》中的尼奥。二来，黑客是...