●第1章 Linux環境和相關工具1
1.1 Linux工具1
1.1.1 GDB2
1.1.2 GNU binutils中的objdump2
1.1.3 GNU binutils中的objcopy3
1.1.4 strace3
1.1.5 ltrace4
1.1.6 基本的ltrace命令4
1.1.7 ftrace4
1.1.8 readelf4
1.1.9 ERESI——ELF反編譯繫統接口5
1.2 有用的設備和文件6
1.2.1 /proc//maps6
1.2.2 /proc/kcore6
1.2.3 /boot/System.map6
1.2.4 /proc/kallsyms7
1.2.5 /proc/iomem7
1.2.6 ECFS7
1.3 鏈接器相關環境指針7
1.3.1 LD_PRELOAD環境變量8
1.3.2 LD_SHOW_AUXV環境變量8
1.3.3 鏈接器腳本9
1.4 總結10
第2章 ELF二進制格式11
2.1 ELF文件類型12
2.2 ELF程序頭14
2.2.1 PT_LOAD14
2.2.2 PT_DYNAMIC——動態段的Phdr15
2.2.3 PT_NOTE17
2.2.4 PT_INTERP17
2.2.5 PT_PHDR17
2.3 ELF節頭18
2.3.1 .text節20
2.3.2 .rodata節20
2.3.3 .plt節21
2.3.4 .data節21
2.3.5 .bss節21
2.3.6 .got.plt節21
2.3.7 .dynsym節21
2.3.8 .dynstr節22
2.3.9 .rel.*節22
2.3.10 .hash節22
2.3.11 .symtab節22
2.3.12 .strtab節23
2.3.13 .shstrtab節23
2.3.14 .ctors和.dtors節23
2.4 ELF符號27
2.4.1 st_name28
2.4.2 st_value28
2.4.3 st_size28
2.4.4 st_other28
2.4.5 st_shndx29
2.4.6 st_info29
2.5 ELF重定位34
2.6 ELF動態鏈接43
2.6.1 輔助向量44
2.6.2 了解PLT/GOT46
2.6.3 重溫動態段49
2.7 編碼一個ELF解析器52
2.8 總結55
第3章 Linu程追蹤57
3.1 ptrace的重要性57
3.2 ptrace請求58
3.3 進程寄存器狀態和標記60
3.4 基於ptrace的調試器示例61
3.5 ptrace調試器67
3.6 高級函數追蹤軟件75
3.7 ptrace和取證分析75
3.8 進程鏡像重建77
3.8.1 重建進程到可執行文件的挑戰78
3.8.2 重建可執行文件的挑戰78
3.8.3 添加節頭表79
3.8.4 重建過程算法79
3.8.5 在32位測試環境中使用Quenya重建進程81
3.9 使用ptrace進行代碼注入83
3.10 簡單的例子演示復雜的過程91
3.11 code_inject工具演示92
3.12 ptrace反調試技巧92
3.13 總結94
第4章 ELF病毒技術——Linux/UNIX病毒95
4.1 ELF病毒技術96
4.2 設計ELF病毒面臨的挑戰97
4.2.1 寄生代碼必須是獨立的97
4.2.2 字符串存儲的復雜度99
4.2.3 尋找存放寄生代碼的合理空間100
4.2.4 將執行控制流傳給寄生代碼100
4.3 ELF病毒寄生代碼感染方法101
4.3.1 Silvio填充感染101
4.3.2 逆向text感染106
4.3.3 data段感染108
4.4 PT_NOTE到PT_LOAD轉換感染110
4.5 感染控制流112
4.5.1 直接PLT感染113
4.5.2 函數蹦床（function trampolines）113
4.5.3 重寫.ctors/.dtors函數指針114
4.5.4 GOT感染或PLT/GOT重定向115
4.5.5 感染數據結構115
4.5.6 函數指針重寫115
4.6 進程內存病毒和rootkits——遠程代碼注入技術115
4.6.1 共享庫注入116
4.6.2 text段代碼注入120
4.6.3 可執行文件注入120
4.6.4 重定位代碼注入——ET_REL注入120
4.7 ELF反調試和封裝技術121
4.7.1 PTRACE_TRACEME技術121
4.7.2 SIGTRAP處理技術122
4.7.3 /proc/self/status技術122
4.7.4 代碼混淆技術123
4.7.5 字符串表轉換技術124
4.8 ELF病毒檢測和殺毒124
4.9 總結126
第5章 Linux二進制保護127
5.1 ELF二進制加殼器127
5.2 存根機制和用戶層執行128
5.3 保護器存根的其他用途133
5.4 現存的ELF二進制保護器133
5.4.1 DacryFile——Grugq於2001年發布134
5.4.2 Burneye——Scut於2002年發布134
5.4.3 Shiva——Neil Mehta和Shawn Clowes於2003年發布135
5.4.4 May's Veil——Ryan O'Neill於2014年發布136
5.5 下載Maya保護的二進制文件142
5.6 二進制保護中的反調試142
5.7 防模擬技術143
5.7.1 通過繫統調用檢測模擬144
5.7.2 檢測模擬的CPU不一致144
5.7.3 檢測特定指令之間的時延144
5.8 混淆方法145
5.9 保護控制流完整性145
5.9.1 基於ptrace的攻擊145
5.9.2 基於安全漏洞的攻擊146
5.10 其他資源147
5.11 總結147
第6章 Linux下的ELF二進制取證分析149
6.1 檢測入口點修改技術150
6.2 檢測其他形式的控制流劫持154
6.2.1 修改.ctors/.init_array節154
6.2.2 檢測PLT/GOT鉤子155
6.2.3 檢測函數蹦床158
6.3 識別寄生代碼特征159
6.4 檢查動態段是否被DLL注入161
6.5 識別逆向text填充感染164
6.6 識別text段填充感染166
6.7 識別被保護的二進制文件170
6.8 IDA Pro175
6.9 總結175
第7章 進程內存取證分析177
7.1 進程內存布局178
7.1.1 可執行文件內存映射179
7.1.2 程序堆179
7.1.3 共享庫映射180
7.1.4 棧、VDSO和vsyscall180
7.2 進程內存感染181
7.2.1 進程感染工具181
7.2.2 進程感染技術182
7.3 檢測ET_DYN注入184
7.3.1 Azazel：用戶級rootkit檢測184
7.3.2 映射出進程的地址空間184
7.3.3 查找棧中的LD_PRELOAD187
7.3.4 檢測PLT/GOT鉤子188
7.3.5 ET_DYN注入內部原理190
7.3.6 操縱VDSO194
7.3.7 共享目標文件加載195
7.3.8 檢測.so注入的啟發方法196
7.3.9 檢測PLT/GOT鉤子的工具197
7.4 Linux ELF核心文件198
7.5 總結204
第8章 ECFS——擴展核心文件快照技術205
8.1 歷史205
8.2 ECFS原理206
8.3 ECFS入門206
8.3.1 將ECFS嵌入到核心處理器中207
8.3.2 在不終止進程的情況下使用ECFS快照208
8.4 libecfs——解析ECFS文件的庫208
8.5 readecfs工具209
8.6 使用ECFS檢測被感染的進程210
8.6.1 感染主機進程210
8.6.2 捕獲並分析ECFS快照211
8.6.3 使用readecfs提取寄生代碼215
8.6.4 Azazel用戶級rootkit分析216
8.7 ECFS參考指南224
8.7.1 ECFS符號表重建225
8.7.2 ECFS節頭226
8.7.3 使用ECFS文件作為常規的核心文件229
8.7.4 libecfs API的使用229
8.8 使用ECFS恢復中斷的進程230
8.9 了解更多ECFS相關內容231
8.10 總結232
第9章 Linux/proc/kcore分析233
9.1 Linux內核取證分析和rootkit233
9.2 沒有符號的備份vmlinux234
9.3 探索/proc/kcore和GDB236
9.4 直接修改sys_call_table237
9.4.1 檢測sys_call_table修改238
9.4.2 內核函數蹦床238
9.4.3 函數蹦床示例239
9.4.4 檢測函數蹦床241
9.4.5 檢測中斷處理器修復243
9.5 Kprobe rootkit243
9.6 調試寄存器rootkit——DRR244
9.7 VFS層rootkit244
9.8 其他內核感染技術245
9.9 vmlinux和.altinstructions修補245
9.9.1 .altinstructions和.altinstr_replace246
9.9.2 arch/x86/include/asm/alternative.h代碼片段246
9.9.3 使用textify驗證內核代碼完整性247
9.9.4 使用textify檢查sys_call_table247
9.10 使用taskverse查看隱藏進程248
9.11 感染的LKM——內核驅動249
9.11.1 方法一：感染LKM文件——符號劫持249
9.11.2 方法二：感染LKM文件——函數劫持249
9.11.3 檢測被感染的LKM250
9.12 /dev/kmem和/dev/mem250
9.12.1 /dev/mem251
9.12.2 FreeBSD /dev/kmem251
9.13 K-ecfs ——內核ECFS251
9.14 內核黑客工具252
9.14.1 通用的逆向工程和調試253
9.14.2 高級內核劫持/調試接口253
9.14.3 本章提到的論文253
9.15 總結254

二進制分析屬於信息安全業界逆向工程中的一種技術，通過利用可執行的機器代碼（二進制）來分析應用程序的控制結構和運行方式，有助於信息安全從業人員更好地分析各種漏洞、病毒以及惡意軟件，從而找到相應的解決方案。
《Linux二進制分析》是一本剖析Linux ELF工作機制的圖書，共分為9章，其內容涵蓋了Linux環境和相關工具、ELF二進制格式、Linu程追蹤、ELF病毒技術、Linux二進制保護、Linux中的ELF二進制取證分析、進程內存取證分析、擴展核心文件快照技術、Linux/proc/kcore分析等。
《Linux二進制分析》適合具有一定的Linux操作知識，且了解C語言編程技巧的信息安全從業人員閱讀。

(美)瑞安·奧尼爾(Ryan O'Neill) 著;棣琦 譯 著