●基礎篇第1章 基礎知識21.1 什麼是加密與解密21.1.1 軟件的加密與解密21.1.2 軟件逆向工程21.1.3 逆向分析技術31.2 文本字符41.2.1 ASCII與Unicode字符集41.2.2 字節存儲順序61.3 Windows操作繫統61.3.1 Win32 API函數61.3.2 WOW6491.3.3 Windows消息機制91.3.4 虛擬內存11調試篇第2章 動態分析技術142.1 OllyDbg調試器142.1.1 OllyDbg的界面142.1.2 OllyDbg的配置152.1.3 基本操作162.1.4 常用斷點272.1.5 插件352.1.6 Run trace362.1.7 Hit trace372.1.8 調試符號372.1.9 加載程序392.1.10 OllyDbg的常見問題402.2 x64dbg調試器422.3 MDebug調試器442.3.1 MDebug的界面442.3.2 表達式452.3.3 調試452.3.4 斷點462.3.5 MDebug的其他功能472.4 WinDbg調試器472.4.1 WinDbg的安裝與配置472.4.2 調試過程512.4.3 斷點命令512.4.4 棧窗口532.4.5 內存命令552.4.6 腳本562.4.7 調試功能擴展582.4.8 小結59第3章 靜態分析技術603.1 文件類型分析603.2 反彙編引擎613.2.1 OllyDbg的ODDisasm613.2.2 BeaEngine613.2.3 Udis86613.2.4 Capstone623.2.5 AsmJit633.2.6 Keystone643.2.7 小結643.3 靜態反彙編653.3.1 IDA Pro簡介653.3.2 IDA的配置663.3.3 IDA主窗口683.3.4 交叉參考693.3.5 參考重命名703.3.6 標簽的用法713.3.7 格式化指令操作數713.3.8 函數的操作723.3.9 代碼和數據轉換723.3.10 字符串733.3.11 數組743.3.12 結構體753.3.13 枚舉類型793.3.14 變量803.3.15 FLIRT813.3.16 IDC腳本823.3.17 插件863.3.18 IDA調試器873.3.19 遠程調試903.3.20 其他功能933.3.21 小結943.4 十六進制工具943.5 靜態分析技術應用實例973.5.1 解密初步973.5.2 逆向工程初步99 解密篇第4章 逆向分析技術1024.1 32位軟件逆向技術1024.1.1 啟動函數1024.1.2 函數1034.1.3 數據結構1114.1.4 虛函數1154.1.5 控制語句1174.1.6 循環語句1244.1.7 數學運算符1254.1.8 文本字符串1284.1.9 指令修改技巧1304.2 64位軟件逆向技術1314.2.1 寄存器1314.2.2 函數1324.2.3 數據結構1424.2.4 控制語句1454.2.5 循環語句1544.2.6 數學運算符1584.2.7 虛函數1694.2.8 小結193第5章 演示版保護技術1945.1 序列號保護方式1945.1.1 序列號保護機制1945.1.2 如何攻擊序列號保護機制1955.1.3 字符串比較形式1975.1.4 制作注冊機1985.2 警告窗口2035.3 時間2055.3.1 計時器2055.3.2 時間2055.3.3 拆解時間保護2065.4 菜單功能2075.4.1 相關函數2075.4.2 拆解菜單保護2085.5 KeyFile保護2085.5.1 相關API函數2085.5.2 拆解KeyFile保護2095.6 網絡驗證2135.6.1 相關函數2145.6.2 破解網絡驗證的一般思路2145.7 光盤檢測2195.7.1 相關函數2195.7.2 拆解光盤保護2205.8 隻運行1個實例2215.8.1 實現方法2215.8.2 實例2225.9 常用斷點設置技巧222第6章 加密算法2236.1 單向散列算法2236.1.1 MD5算法2236.1.2 SHA算法2276.1.3 SM3密碼雜湊算法2316.1.4 小結2316.2 對稱加密算法2316.2.1 RC4流密碼2316.2.2 TEA算法2336.2.3 IDEA算法2366.2.4 BlowFish算法2436.2.5 AES算法2466.2.6 SM4分組密碼算法2596.2.7 小結2596.3 公開密鑰加密算法2596.3.1 RSA算法2606.3.2 ElGamal公鑰算法2646.3.3 DSA數字簽名算法2706.3.4 橢圓曲線密碼編碼學2726.3.5 SM2算法2796.4 其他算法2796.4.1 CRC32算法2796.4.2 Base64編碼2806.5 常見的加密庫接口及其識別2816.5.1 Miracl大數運算庫2816.5.2 FGInt2836.5.3 其他加密算法庫介紹2846.6 加密算法在軟件保護中的應用285 繫統篇第7章 Windows內核基礎2907.1 內核理論基礎2907.1.1 權限級別2907.1.2 內存空間布局2917.1.3 Windows與內核啟動過程2927.1.4 Windows R3與R0通信2947.1.5 內核函數2967.1.6 內核驅動模塊2977.2 內核重要數據結構2987.2.1 內核對像2987.2.2 SSDT3007.2.3 TEB3027.2.4 PEB3047.3 內核調試基礎3067.3.1 使用WinDbg搭建雙機調試環境3067.3.2 加載內核驅動並設置符號表3087.3.3 SSDT與Shadow SSDT的查看311第8章 Windows下的異常處理3138.1 異常處理的基本概念3138.1.1 異常列表3138.1.2 異常處理的基本過程3148.2 SEH的概念及基本知識3198.2.1 SEH的相關數據結構3198.2.2 SEH處理程序的安裝和卸載3208.2.3 SEH實例跟蹤3218.3 SEH異常處理程序原理及設計3258.3.1 異常分發的詳細過程3258.3.2 線程異常處理3308.3.3 異常處理的棧展開3368.3.4 MSC編譯器對線程異常處理的增強3428.3.5 頂層異常處理3498.3.6 異常處理程序的安全性3578.4 向量化異常處理3618.4.1 向量化異常處理的使用3618.4.2 VEH與SEH的異同3628.4.3 向量化異常處理的新內容3638.5 x64平臺上的異常處理3638.5.1 原生x64程序的異常分發3648.5.2 WOW64下的異常分發3668.6 異常處理程序設計中的注意事項3678.7 異常處理的實際應用3688.7.1 使用SEH對用戶輸入進行驗證3688.7.2 SEH在加密與解密中的應用3698.7.3 用VEH實現API Hook3718.8 本章小結371第9章 Win32調試API3729.1 調試相關函數簡要說明3729.2 調試事件3759.3 創建並跟蹤進程3779.4 調試循環體3789.5 處理調試事件3799.6 線程環境3809.7 將代碼注入進程382第10章 VT技術38410.1 硬件虛擬化的基本概念38410.1.1 概述38410.1.2 相關結構和彙編指令38510.1.3 EPT機制38810.2 VT技術的應用38910.2.1 編譯運行ShadowWalker38910.2.2 分析Hypervisor39010.2.3 檢測VT支持情況39210.2.4 VMCS的配置39310.2.5 EPT的配置39610.2.6 開啟VT39910.2.7 內存隱藏的實現39910.3 VT調試方法401第11章 PE文件格式40411.1 PE的基本概念40511.1.1 基地址40511.1.2 虛擬地址40611.1.3 相對虛擬地址40611.1.4 文件偏移地址40711.2 MS-DOS頭部40711.3 PE文件頭40811.3.1 Signature字段40811.3.2 IMAGE_FILE_HEADER結構40911.3.3 IMAGE_OPTIONAL_HEADER結構41011.4 區塊41511.4.1 區塊表41511.4.2 常見區塊與區塊合並41711.4.3 區塊的對齊值41911.4.4 文件偏移與虛擬地址的轉換41911.5 輸入表42111.5.1 輸入函數的調用42111.5.2 輸入表的結構42211.5.3 輸入地址表42411.5.4 輸入表實例分析42411.6 綁定輸入42811.7 輸出表42911.7.1 輸出表的結構43011.7.2 輸出表實例分析43111.8 基址重定位43211.8.1 基址重定位的概念43211.8.2 基址重定位表的結構43311.8.3 基址重定位表實例分析43411.9 資源43511.9.1 資源結構43511.9.2 資源結構實例分析43811.9.3 資源編輯工具44011.10 TLS初始化44011.11 調試目錄44111.12 延遲載入數據44111.13 程序異常數據44211.14 .NET頭部44211.15 編寫PE分析工具44311.15.1 檢查文件格式44311.15.2 讀取FileHeader和OptionalHeader的內容44411.15.3 得到數據目錄表信息44511.15.4 得到區塊表信息44611.15.5 得到輸出表信息44711.15.6 得到輸入表信息448第12章 注入技術45012.1 DLL注入方法45012.1.1 通過干預輸入表處理過程加載目標DLL45012.1.2 改變程序運行流程使其主動加載目標DLL46612.1.3 利用繫統機制加載DLL48412.2 DLL注入的應用49112.3 DLL注入的防範49112.3.1 驅動層防範49112.3.2 應用層防範493第13章 Hook技術49713.1 Hook概述49713.1.1 IAT Hook篡改MessageBox消息49713.1.2 Inline Hook篡改指定MessageBox消息49913.2 Hook的分類50013.2.1 Address Hook50113.2.2 Inline Hook51113.2.3 基於異常處理的Hook51313.2.4 不是Hook的Hook51413.3 Hook位置的挑選51513.4 Hook的典型過程51913.4.1 Address Hook的實施過程51913.4.2 Inline Hook的實施過程52613.4.3 基於異常處理的Hook實施過程52913.4.4 二次Hook的注意事項53213.4.5 通用Hook引擎的實現53313.5 Detour函數的典型用法53313.6 Hook中的注意事項53613.7 Hook在x64平臺上的新問題54113.8 Hook技術的應用54313.9 Hook的檢測、恢復與對抗54413.9.1 Hook的檢測與恢復54413.9.2 Hook的對抗54513.10 本章小結546漏洞篇第14章 漏洞分析技術54814.1 軟件漏洞原理54814.1.1 緩衝區溢出漏洞54814.1.2 整型溢出漏洞55314.1.3 UAF漏洞55514.2 Shellcode55514.2.1 Shellcode的結構55614.2.2 Shellcode通用技術55914.2.3 實戰Shellcode編寫56014.3 漏洞利用56614.3.1 漏洞利用基本技術56714.3.2 漏洞利用高級技術57014.4 漏洞樣本57214.5 樣本分析57314.5.1 準備工作57314.5.2 靜態分析57414.5.3 動態調試57614.5.4 追根溯源58114.5.5 小結585 脫殼篇第15章 專用加密軟件58815.1 認識殼58815.1.1 殼的概念58815.1.2 壓縮引擎58915.2 壓縮殼58915.2.1 UPX58915.2.2 ASPack59015.3 加密殼59015.3.1 ASProtect59015.3.2 Armadillo59015.3.3 EXECryptor59115.3.4 Themida59115.4 虛擬機保護軟件59215.4.1 虛擬機介紹59215.4.2 VMProtect簡介592第16章 脫殼技術59416.1 基礎知識59416.1.1 殼的加載過程59416.1.2 脫殼機59516.1.3 手動脫殼59616.2 尋找OEP59616.2.1 根據跨段指令尋找OEP59616.2.2 用內存訪問斷點尋找OEP60016.2.3 根據棧平衡原理尋找OEP60116.2.4 根據編譯語言特點尋找OEP60216.3 抓取內存映像60316.3.1 Dump原理60316.3.2 反Dump技術60416.4 重建輸入表60616.4.1 輸入表重建的原理60616.4.2 確定IAT的地址和大小60716.4.3 根據IAT重建輸入表60816.4.4 用Import REC重建輸入表61116.4.5 輸入表加密概括61416.5 DLL文件脫殼61516.5.1 尋找OEP61516.5.2 Dump映像文件61716.5.3 重建DLL的輸入表61816.5.4 構造重定位表61916.6 附加數據62116.7 PE文件的優化62316.8 壓縮殼62616.8.1 UPX外殼62616.8.2 ASPack外殼62916.9 加密殼63316.10 靜態脫殼63716.10.1 外殼Loader分析63716.10.2 編寫靜態脫殼器641保護篇第17章 軟件保護技術64417.1 防範算法求逆64417.1.1 基本概念64417.1.2 堡壘戰術64517.1.3 遊擊戰術64617.2 抵御靜態分析64717.2.1 花指令64717.2.2 SMC技術實現64917.2.3 信息隱藏65317.2.4 簡單的多態變形技術65417.3 文件完整性檢驗65517.3.1 磁盤文件校驗的實現65517.3.2 校驗和65717.3.3 內存映像校驗65717.4 代碼與數據結合65917.4.1 準備工作66017.4.2 加密算法的選用66117.4.3 手動加密代碼66117.4.4 使 .text區塊可寫66217.5 關於軟件保護的若干忠告663第18章 反跟蹤技術66518.1 由BeingDebugged引發的蝴蝶效應66518.1.1 BeingDebugged66518.1.2 NtGlobalFlag66918.1.3 Heap Magic67118.1.4 從源頭消滅BeingDebugged67618.2 回歸Native：用戶態的夢魘67618.2.1 CheckRemoteDebuggerPresent67718.2.2 ProcessDebugPort67718.2.3 ThreadHideFromDebugger68018.2.4 DebugObject68218.2.5 SystemKernelDebuggerInformation68618.2.6 Native API68818.2.7 Hook和AntiHook69318.3 真正的奧秘：小技巧一覽69618.3.1 SoftICE檢測方法69618.3.2 OllyDbg檢測方法69818.3.3 調試器漏洞70018.3.4 防止調試器附加70118.3.5 父進程檢測70318.3.6 時間差70318.3.7 通過Trap Flag檢測70418.3.8 雙進程保護704第19章 外殼編寫基礎70519.1 外殼的結構70519.2 加殼主程序70619.2.1 判斷文件是否為PE格式70619.2.2 文件基本數據讀入70619.2.3 附加數據的讀取70819.2.4 輸入表的處理70819.2.5 重定位表的處理71119.2.6 文件的壓縮71319.2.7 資源數據的處理71619.2.8 區塊的融合72019.3 用彙編寫外殼部分72119.3.1 外殼的加載過程72119.3.2 自建輸入表72219.3.3 外殼引導段72319.3.4 外殼第2部分72619.3.5 將外殼部分添加至原程序73119.4 用C++編寫外殼部分734第20章 虛擬機的設計73920.1 虛擬機保護技術原理73920.1.1 反彙編引擎73920.1.2 指令分類73920.2 啟動框架和調用約定74020.2.1 調度器74020.2.2 虛擬環境74120.2.3 平衡棧vBegin和vCheckESP74220.3 Handler的設計74320.3.1 輔助Handler74320.3.2 普通Handler和指令拆解74420.3.3 標志位問題74520.3.4 相同作用的指令74520.3.5 轉移指令74620.3.6 轉移跳轉指令的另一種實現74720.3.7 call指令74820.3.8 retn指令74820.3.9 不可模擬指令74920.4 托管代碼的異常處理74920.4.1 VC++的異常處理74920.4.2 Delphi的異常處理75420.5 本章小結757第21章 VMProtect逆向和還原淺析75821.1 VMProtect逆向分析75821.1.1 VMProtect虛擬執行引擎的全景圖75821.1.2 VMProtect虛擬引擎的基本架構76321.1.3 指令分類76321.2 VMProtect的還原76521.2.1 虛擬執行繫統76621.2.2 生成完整的字節碼流程圖76721.2.3 給Handler命名並添加語義動作77421.2.4 將字節碼的低級描述轉換為中級描述77521.2.5 清除無用的字節碼77621.2.6 用真值表化簡邏輯指令77621.2.7 從特征中建立部分寄存器映射信息77921.2.8 其他無法確定的寄存器的圖著色算法78521.2.9 使用DAG匹配生成指令78821.2.10 其他問題791 軟件重構篇第22章 補丁技術79422.1 文件補丁79422.2 內存補丁79522.2.1 跨進程內存存取機制79522.2.2 Debug API機制79722.2.3 利用調試寄存器機制80022.2.4 利用DLL注入技術80322.2.5 利用Hook技術80722.2.6 利用VT技術81022.3 SMC補丁技術81322.3.1 單層SMC補丁技術81322.3.2 多層SMC補丁技術81422.4 補丁工具816第23章 代碼的二次開發81823.1 數據對齊81823.2 增加空間81823.2.1 區塊間隙81823.2.2 手動構造區塊81923.2.3 工具輔助構造區塊82023.3 獲得函數的調用信息82023.3.1 增加輸入函數82023.3.2 顯式鏈接調用DLL82123.4 代碼的重定位82223.4.1 修復重定位表82223.4.2 代碼的自定位技術82423.5 增加輸出函數82523.6 消息循環82623.6.1 WndProc函數82623.6.2 尋找消息循環82723.6.3 WndProc彙編形式82823.7 菜單擴展82923.7.1 擴充WndProc82923.7.2 擴充Exit菜單的功能83023.7.3 擴充Open菜單的功能83023.8 DLL擴展83323.8.1 擴展接口83323.8.2 擴展消息循環834 語言和平臺篇第24章 .NET平臺加解密83824.1 .NET概述83824.1.1 什麼是 .NET83824.1.2 基本概念83924.1.3 第1個 .NET程序84024.2 MS數據84124.2.1 PE結構的擴展84124.2.2 .NET下的彙編MSIL84724.2.3 MS數據的結合84924.3 代碼分析與修改技術85124.3.1 靜態分析85124.3.2 動態調試85324.3.3 代碼修改85524.4 .NET代碼保護技術及其逆向85724.4.1 強名稱85724.4.2 名稱混淆85924.4.3 流程混淆86324.4.4 壓縮86524.4.5 加密86924.4.6 其他保護手段87524.5 本章小結876 取證篇第25章 數據取證技術87825.1 硬盤數據的獲取和固定87825.1.1 硬盤數據的獲取87825.1.2 電子數據的固定88225.2 硬盤的分區和數據恢復88225.2.1 分區的解析88425.2.2 基於文件繫統的數據恢復原理88625.3 內存分析89025.3.1 內存鏡像的獲取89125.3.2 內存鏡像的分析89425.4 動態仿真技術89725.4.1 仿真專用硬件89725.4.2 軟件仿真89825.5 注冊表90025.5.1 Hive文件90025.5.2 注冊表中的時間90125.5.3 USB移動存儲設備90225.6 文件格式90325.6.1 文件修復和特征碼90325.6.2 基於文件的數據恢復技術90425.6.3 數據隱藏的分析906 術語表909參考文獻911

本書以軟件逆向為切入點，講述了軟件安全領域相關的基礎知識和技能。讀者閱讀本書後，很容易就能在逆向分析、漏洞分析、安全編程、病毒分析等領域進行擴展。這些知識點的相互關聯，將促使讀者開闊思路，融會貫通，領悟更多的學習方法，提升自身的學習能力。本書適合安全技術相關工作者、對逆向調試技術感興趣的人、對軟件保護感興趣的軟件開發人員、相關專業在校學生及關注個人信息安全、計算機安全技術並想了解技術內幕的讀者閱讀。

段鋼 著