第1部分  逆向101

第1章  基础^...... 3

1.1  什么是逆向工程^...... 3

1.2  软件逆向工程：逆向^...... 4

1.3  逆向应用^...... 4

1.3.1  与安全相关的逆向^..... 5

1.3.2  软件开发中的逆向^..... 8

1.4  底层软件^...... 9

1.4.1  汇编语言^..... 10

1.4.2  编译器^..... 11

1.4.3  虚拟机和字节码^..... 12

1.4.4  操作系统^..... 13

1.5  逆向过程^...... 13

1.5.1  系统级逆向^..... 14

1.5.2  代码级逆向^..... 14

1.6  工具^...... 14

1.6.1  系统监控工具^..... 15

1.6.2  反汇编器^..... 15

1.6.3  调试器^..... 15

1.6.4  反编译器^..... 16

1.7  逆向合法吗？^...... 17

1.7.1  互操作性^..... 17

1.7.2  竞争^..... 18

1.7.3  版权法^..... 19

1.7.4  商业机密和专利权^..... 20

1.7.5  美国数字千禧版权法^..... 20

1.7.6  DMCA案例^..... 22

1.7.7  许可证协议^..... 23

1.8  代码范例与工具^...... 23

1.9  结论^...... 23

第2章  底层软件^...... 25

2.1  高阶视角^...... 26

2.1.1  程序结构^..... 26

2.1.2  数据管理^..... 29

2.1.3  控制流^..... 32

2.1.4  高级语言^..... 33

2.2  低阶视角^...... 37

2.2.1  底层数据管理^..... 37

2.2.2  控制流^..... 43

2.3  汇编语言101^... 44

2.3.1  寄存器^..... 44

2.3.2  标志位^..... 46

2.3.3  指令格式^..... 47

2.3.4  基本指令^..... 48

2.3.5  范例^..... 52

2.4  编译器和编译入门^...... 53

2.4.1  定义编译器^..... 54

2.4.2  编译器架构^..... 55

2.4.3  列表文件^..... 58

2.4.4  专用编译器^..... 59

2.5  执行环境^...... 60

2.5.1  软件执行环境（虚拟机）^..... 60

2.5.2  现代处理器的硬件执行环境^..... 63

2.6  结论^...... 68

第3章  Windows基础知识^...... 69

3.1  组件及基本架构^...... 70

3.1.1  简要回顾^..... 70

3.1.2  特征^..... 70

3.1.3  支持的硬件^..... 71

3.2  内存管理^...... 71

3.2.1  虚拟内存和分页^..... 72

3.2.2  工作集^..... 74

3.2.3  内核内存和用户内存^..... 74

3.2.4  内核内存空间^..... 75

3.2.5  区段对象^..... 77

3.2.6  VAD树^..... 78

3.2.7  用户模式的内存分配^..... 78

3.2.8  内存管理API^. 79

3.3  对象与句柄^...... 80

命名对象^..... 81

3.4  进程与线程^...... 83

3.4.1  进程^..... 84

3.4.2  线程^..... 84

3.4.3  运行状态切换^..... 85

3.4.4  同步对象^..... 86

3.4.5  进程初始化顺序^..... 87

3.5  应用程序编程接口^...... 88

3.5.1  Win32 API^. 88

3.5.2  本地API^. 90

3.5.3  系统调用机制^..... 91

3.6  可执行文件格式^...... 93

3.6.1  基本概念^..... 93

3.6.2  映像区段（Image Sections）^..... 95

3.6.3  区段对齐（Section Alignment）^..... 95

3.6.4  动态链接库^..... 96

3.6.5  头部^..... 97

3.6.6  导入与导出^..... 99

3.6.7  目录^..... 99

3.7  输入与输出^...... 103

3.7.1  I/O系统^..... 103

3.7.2  Win32子系统^..... 104

3.8  结构化异常处理^...... 105

3.9  结论^...... 107

第4章  逆向工具^...... 109

4.1  不同的逆向方法^...... 110

4.1.1  离线代码分析^..... 110

4.1.2  现场代码分析^..... 110

4.2  反汇编器——ILDasm^..... 110

4.3  调试器^...... 116

4.3.1  用户模式调试器^..... 118

4.3.2  内核模式调试器^..... 122

4.4  反编译器^...... 129

4.5  系统监控工具^...... 129

4.6  修补工具^...... 131

Hex Workshop^.. 131

4.7  其他类型的逆向工具^...... 133

可执行程序转储工具^..... 133

4.8  结论^...... 138

第2部分  应用逆向

第5章  未公开的技术^...... 141

5.1  逆向和互操作性^...... 142

5.2  基本原则^...... 142

5.3  定位未公开的API函数^...... 143

我们要找什么？^..... 144

5.4  案例研究：NTDLL.DLL中的

5.4  Generic Table API^.. 145

5.4.1  RtlInitializeGenericTable^.. 146

5.4.2  RtlNumberGenericTableElements^.. 151

5.4.3  RtlIsGenericTableEmpty^.. 152

5.4.4  RtlGetElementGenericTable^.. 153

5.4.5  RtlInsertElementGenericTable^.. 168

5.4.6  RtlLookupElementGenericTable^.. 188

5.4.7  RtlDeleteElementGenericTable^.. 193

5.4.8  思路整理^..... 194

5.5  结论^...... 196

第6章  破译文件格式^...... 199

6.1  Cryptex^... 200

6.2  使用Cryptex^... 201

6.3  逆向Cryptex^... 202

6.4  口令校验过程^...... 207

6.4.1  捕获“Bad Password”消息^..... 207

6.4.2  口令变换算法^..... 210

6.4.3  对口令作hash处理^..... 213

6.5  目录结构^...... 218

6.5.1  分析目录处理代码^..... 218

6.5.2  分析文件项^..... 223

6.6  转储目录结构^...... 227

6.7  文件提取过程^...... 228

6.7.1  扫描文件列表^..... 234

6.7.2  解密文件^..... 235

6.7.3  浮点运算代码^..... 236

6.7.4  解密循环^..... 238

6.7.5  验证Hash值^..... 239

6.8  要点总结^...... 239

6.9  进一步讨论^...... 241

6.10  结论^...... 242

第7章  审查程序的二进制码^...... 243

7.1  定义问题^...... 243

7.2  漏洞^...... 245

7.2.1  堆栈溢出^..... 245

7.2.2  堆溢出^..... 255

7.2.3  字符串过滤程序^..... 256

7.2.4  整数溢出^..... 256

7.2.5  类型转换错误^..... 260

7.3  案例研究：IIS索引服务漏洞^...... 262

7.3.1  CVariableSet::

7.3.1  AddExtensionControlBlock^.. 263

7.3.2  DecodeURLEscapes^.. 267

7.4  结论^...... 271

第8章  逆向恶意软件^...... 273

8.1  恶意软件的分类^...... 274

8.1.1  病毒^..... 274

8.1.2  蠕虫^..... 274

8.1.3  特洛伊木马^..... 275

8.1.4  后门^..... 276

8.1.5  移动代码^..... 276

8.1.6  广告软件和间谍软件^..... 276

8.2  粘人的软件（Sticky

8.2  Software）^...... 277

8.3  未来的恶意软件^...... 278

8.3.1  盗取信息的蠕虫^..... 278

8.3.2  BIOS/固件恶意软件^..... 279

8.4  恶意软件的使用^...... 280

8.5  恶意软件的弱点^...... 281

8.6  多态^...... 282

8.7  变形^...... 283

8.8  建立安全的环境^...... 285

8.9  Backdoor.Hacarmy.D^.... 285

8.9.1  脱壳可执行文件^..... 286

8.9.2  初次印象^..... 290

8.9.3  初次安装^..... 291

8.9.4  初始化通信设置^..... 294

8.9.5  连接到服务器^..... 296

8.9.6  连接信道^..... 298

8.9.7  与后门进行通信^..... 299

8.9.8  运行SOCK4服务器^..... 303

8.9.9  清理犯罪现场^..... 303

8.10  The Backdoor.Hacarmy.D：

8.10  命令参考^...... 304

8.11  结论^...... 306

第3部分  破解

第9章  盗版与拷贝保护^...... 309

9.1  世界中的版权^...... 309

9.2  社会方面^...... 310

9.3  软件盗版^...... 310

9.3.1  明确问题^..... 311

9.3.2  群破解^..... 312

9.3.3  需求^..... 313

9.3.4  理论上不可破解的模型^..... 314

9.4  各种类型的保护^...... 314

9.4.1  基于介质的保护^..... 314

9.4.2  序列号^..... 315

9.4.3  质询响应和在线激活^..... 315

9.4.4  基于硬件的保护^..... 316

9.4.5  软件即服务^..... 317

9.5  高级保护的概念^...... 318

加密处理器^{........................................................................} 318

9.6  数字版权管理^...... 319

数字版权管理模型^{......................................................} 320

9.7  加水印^...... 321

9.8  可信计算^...... 322

9.9  破解拷贝保护技术^...... 324

9.10  结论^...... 324

第10章  反逆向技术^...... 327

10.1  为什么要反逆向？^...... 327

10.2  反逆向的基本方法^...... 328

10.3  消除符号信息^...... 329

10.4  代码加密^...... 330

10.5  活跃的反调试器技术^...... 331

10.5.1  调试器基础^..... 331

10.5.2  API函数IsDebuggerPresent^. 332

10.5.3  SystemKernelDebugger

10.5.3  Information^.. 333

10.5.4  用单步中断检测SoftICE^... 334

10.5.5  陷阱标志^..... 335

10.5.6  代码校验和^..... 335

10.6  迷惑反汇编器^...... 336

10.6.1  线性扫描反汇编器^..... 337

10.6.2  递归遍历反汇编器^..... 338

10.6.3  应用^..... 343

10.7  代码混淆^...... 344

10.8  控制流变换^...... 346

10.8.1  暗晦谓词^..... 346

10.8.2  迷惑反编译器^..... 348

10.8.3  表译码^..... 348

10.8.4  内联和外联^..... 353

10.8.5  交叉代码^..... 354

10.8.6  次序变换^..... 355

10.9  数据变换^...... 355

10.9.1  修改变量编码^..... 355

10.9.2  重构数组^..... 356

10.10  结论^...... 356

第11章  突破保护^...... 357

11.1  修补程序（Patching）^...... 358

11.2  生成密钥^...... 364

11.3  取密钥生成算法^...... 365

11.4  高级破解：Defender^.. 370

11.4.1  逆向Defender的初始化程序^..... 377

11.4.2  分析解密后的代码^..... 387

11.4.3  SoftICE的消失^..... 396

11.4.4  逆向分析第二个线程^..... 396

11.4.5  击败“杀手（Killer）”线程^..... 399

11.4.6  加载KERNEL32.DLL^... 400

11.4.7  再加密函数^..... 401

11.4.8  回到入口点^..... 402

11.4.9  解析程序的参数^..... 404

11.4.10  处理用户名^..... 406

11.4.11  验证用户信息^..... 407

11.4.12  解密代码^..... 409

11.4.13  暴力破解Defender^. 409

11.5  Defender中的保护技术^...... 415

11.5.1  局部化的函数级加密^..... 415

11.5.2  混淆应用程序与操作系统

11.5.2  之间的接口^..... 416

11.5.3  处理器时间戳验证线程^..... 417

11.5.4  在运行时生成解密密钥^..... 418

11.5.5  重度内联^..... 419

11.6  结论^...... 419

第4部分  反汇编之外

第12章  逆向.NET^.... 423

12.1  基本原则^...... 424

12.2  .NET基础^...... 426

12.2.1  托管代码^..... 426

12.2.2  .NET程序设计语言^..... 428

12.2.3  通用类型系统^..... 428

12.3  中间语言^...... 429

12.3.1  求值堆栈^....... 430

12.3.2  活动记录^..... 430

12.3.3  IL指令^..... 430

12.3.4  代码实例^..... 433

12.4  反编译器^...... 443

12.5  混淆器^...... 444

12.5.1  重命名符号^..... 444

12.5.2  控制流混淆^..... 444

12.5.3  中断反编译与中断反汇编^..... 444

12.6  逆向混淆代码^...... 445

12.6.1  XenoCode混淆器^..... 446

12.6.2  DotFuscator by Preemptive

12.6.2  Solutions^.. 448

12.6.3  Remotesoft 混淆器与连接器^..... 451

12.6.4  Remotesoft Protector^. 452

12.6.5  预编译的汇编程序^..... 453

12.6.6  加密的汇编程序^..... 453

12.7  结论^...... 455

第13章  反编译^...... 457

13.1  本地代码的反编译：是一个

13.1  解决不了的问题吗？^...... 457

13.2  典型的反编译器架构^...... 459

13.3  中间表示^...... 459

13.3.1  表达式和表达式树^..... 461

13.3.2  控制流图^..... 462

13.4  前端^...... 463

13.4.1  语义分析^..... 463

13.4.2  生成控制流图^..... 464

13.5  代码分析^...... 466

13.5.1  数据流分析^..... 466

13.5.2  类型分析^....... 472

13.5.3  控制流分析^..... 475

13.5.4  查找库函数^..... 475

13.6  反编译器后端^...... 476

13.7  Real-World IA-32反编译^........ 477

13.8  结论^...... 477

附录A  揭密代码结构^...... 479

附录B  理解编译后的算术运算^...... 519

附录C  破译程序数据^...... 537

索引^...... 561