　　韩国逆向分析领域龙头之作！
　　逆向分析师必知核心原理大全！
　　《逆向工程核心原理》集中讲解逆向分析技术及其操作原理，不仅通过通俗易懂的语言介绍了每项技术，更通过丰富的示例使读者彻底掌握核心部分的原理。阅读此书不仅可以为逆向分析打下坚实基础，更能够获得恒久保值的技术精髓。
　　想成为逆向工程研究员的读者或正在从事逆向开发工作的开发人员一定会通过本书获得很大帮助。同时，想成为安全领域专家的人也可从本书轻松起步。

内容简介

　　《逆向工程核心原理》十分详尽地介绍了代码逆向分析的核心原理。作者在Ahnlab 研究所工作多年，书中不仅包括其以此经验为基础亲自编写的大量代码，还包含了逆向工程研究人员必须了解的各种技术和技巧。彻底理解并切实掌握逆向工程这门技术，就能在众多IT相关领域进行拓展运用，这本《逆向工程核心原理》就是通向逆向工程大门的捷径。
　　想成为逆向工程研究员的读者或正在从事逆向开发工作的开发人员一定会通过《逆向工程核心原理》获得很大帮助。同时，想成为安全领域专家的人也可从《逆向工程核心原理》轻松起步。

作者简介

李承远
在AhnLab从事恶意代码分析工作，一直维护着一个逆向分析技术专业学习博客。从接触逆向分析技术开始就为其迷人魅力深深吸引，对逆向分析技术的传播及多领域应用非常关注，喜欢读书、发呆，也向往新的挑战。
www.reversecore.com
reversecore@gmail.com

武传海
擅韩语，喜计算机，有多年翻译经验，内容涉及多个领域，尤其擅长翻译各类计算机图书，已出版多部韩语译著。
QQ：768160125
jeonhae@126.com

内页插图

精彩书评

　　★向安全技术专家迈出第一步的必选书！
　　最近，越来越多的人开始关心信息技术安全，但是相关领域的安全技术专家仍然十分匮乏。主要有两方面原因导致这种现象形成：一方面是因为必须做大量准备，努力学习；另一方面是因为市面上缺乏系统讲解这类内容的专业书籍。
　　信息技术安全领域的图书很少有讲解恶意代码分析的，本书恰好填补了这一空白。无论是刚开始学习恶意代码分析的朋友，还是从事恶意代码分析的专家，都会为本书面世而激动。
　　虽然读者阅读本书时需要具有基本的汇编语言知识，但是本书内容讲解非常细致，涵盖了从恶意代码分析基础知识到高级技术的全部内容，系统而有条理，语言简洁，通俗易懂，并在讲解中选配了恰当的示例程序，使内容更易理解。对于最近出现的恶意代码中的各种常用技术，本书都做了详细讲解，无论你是初学者还是分析专家，都能从中获益。
　　信息安全技术涉及各领域，需要知识渊博、经验丰富的专家。本书将帮你轻松迈出成为安全技术专家的第一步。
　　——韩昌奎，ASEC中心主任

　　★如果此刻你手上正捧着这本书，说明你已经被代码逆向分析的魅力深深吸引了！
　　对于刚开始学习代码逆向分析技术的人而言，需要学习的内容很多，这容易让人心生畏惧、止步不前。其实不需担心，本书在学习过程中给出了大量提示，各位借助这些提示可以更好地理解所讲的内容。
　　本书比较重视代码逆向分析者的心态引导与培养，在内容讲解上也与其他书籍不同，并不是单纯的技巧罗列，而是深刻讲解了相关技术的深层含义、技术的工作原理以及内部实现结构，这也是本书的重点所在。同时配合丰富示例，让内容变得更具体形象、更易理解，作者的良苦用心可见一斑。
　　你想成为代码逆向分析员吗？如果你感到困惑：“我是开发人员，难道也需要读它吗？”
　　——郑官真，CISCO高级研究员

第一部分　代码逆向技术基础
第1章　关于逆向工程　2
1．1　逆向工程　2
1．2　代码逆向工程　2
1．2．1　逆向分析法　2
1．2．2　源代码、十六进制代码、汇编代码　4
1．2．3 “打补丁”与“破解”　5
1．3　代码逆向准备　5
1．3．1　目标　5
1．3．2　激情　6
1．3．3　谷歌　6
1．4　学习逆向分析技术的禁忌　6
1．4．1　贪心　6
1．4．2　急躁　7
1．5　逆向分析技术的乐趣　7

第2章　逆向分析Hello World!程序　8
2．1　Hello World!程序　8
2．2　调试HelloWorld．exe程序　9
2．2．1　调试目标　9
2．2．2　开始调试　9
2．2．3　入口点　10
2．2．4　跟踪40270C函数　10
2．2．5　跟踪40104F跳转语句　12
2．2．6　查找main()函数　12
2．3　进一步熟悉调试器　14
2．3．1　调试器指令　14
2．3．2 “大本营”　15
2．3．3　设置“大本营”的四种方法　15
2．4　快速查找指定代码的四种方法　17
2．4．1　代码执行法　18
2．4．2　字符串检索法　19
2．4．3　API检索法(1)：在调用代码中设置断点　20
2．4．4　API检索法(2)：在API代码中设置断点　21
2．5　使用“打补丁”方式修改“Hello World!”字符串　23
2．5．1 “打补丁”　23
2．5．2　修改字符串的两种方法　24
2．6　小结　28

第3章　小端序标记法　31
3．1　字节序　31
3．1．1　大端序与小端序　32
3．1．2　在OllyDbg中查看小端序　32

第4章　IA-32寄存器基本讲解　34
4．1　什么是CPU寄存器　34
4．2　IA-32寄存器　34
4．3　小结　40

第5章　栈　41
5．1　栈　41
5．1．1　栈的特征　41
5．1．2　栈操作示例　41

第6章　分析abex’ crackme#1　44
6．1　abex’ crackme #1　44
6．1．1　开始调试　45
6．1．2　分析代码　45
6．2　破解　47
6．3　将参数压入栈　47
6．4　小结　48

第7章　栈帧　49
7．1　栈帧　49
7．2　调试示例：stackframe．exe　49
7．2．1　StackFrame．cpp　50
7．2．2　开始执行main()函数&生成栈帧　51
7．2．3　设置局部变量　52
7．2．4　add()函数参数传递与调用　53
7．2．5　开始执行add()函数&生成栈帧　54
7．2．6　设置add()函数的局部变量(x， y)　55
7．2．7　ADD运算　55
7．2．8　删除函数add()的栈帧&函数执行完毕(返回)　56
7．2．9　从栈中删除函数add()的参数(整理栈)　57
7．2．10　调用printf()函数　58
7．2．11　设置返回值　58
7．2．12　删除栈帧&main;()函数终止　58
7．3　设置OllyDbg选项　59
7．3．1　Disasm选项　59
7．3．2　Analysis1选项　60
7．4　小结　61

第8章　abex’ crackme #2　62
8．1　运行abex’ crackme #2　62
8．2　Visual Basic文件的特征　63
8．2．1　VB专用引擎　63
8．2．2　本地代码和伪代码　63
8．2．3　事件处理程序　63
8．2．4　未文档化的结构体　63
8．3　开始调试　63
8．3．1　间接调用　64
8．3．2　RT_MainStruct结构体　64
8．3．3　ThunRTMain()函数　65
8．4　分析crackme　65
8．4．1　检索字符串　65
8．4．2　查找字符串地址　66
8．4．3　生成Serial的算法　68
8．4．4　预测代码　69
8．4．5　读取Name字符串的代码　69
8．4．6　加密循环　70
8．4．7　加密方法　70
8．5　小结　72

第9章　Process Explorer——最优秀的进程管理工具　74
9．1　Process Explorer　74
9．2　具体有哪些优点呢　75
9．3　sysinternals　75

第10章　函数调用约定　76
10．1　函数调用约定　76
10．1．1　cdecl　76
10．1．2　stdcall　77
10．1．3　fastcall　78

第11章　视频讲座　79
11．1　运行　79
11．2　分析　79
11．2．1　目标(1)：去除消息框　79
11．2．2　打补丁(1)：去除消息框　81
11．2．3　目标(2)：查找注册码　83
11．3　小结　85

第12章　究竟应当如何学习代码逆向分析　86
12．1　逆向工程　86
12．1．1　任何学习都应当有目标　86
12．1．2　拥有积极心态　86
12．1．3　要感受其中的乐趣　86
12．1．4　让检索成为日常生活的一部分　87
12．1．5　最重要的是实践　87
12．1．6　请保持平和的心态　87

第二部分　PE文件格式
第13章　PE文件格式　90
13．1　介绍　90
13．2　PE文件格式　90
13．2．1　基本结构　91
13．2．2　VA&RVA;　92
13．3　PE头　92
13．3．1　DOS头　93
13．3．2　DOS存根　94
13．3．3　NT头　94
13．3．4　NT头：文件头　95
13．3．5　NT头：可选头　97
13．3．6　节区头　101
13．4　RVA to RAW　104
13．5　IAT　105
13．5．1　DLL　105
13．5．2　IMAGE_IMPORT_DESCRIPTOR　107
13．5．3　使用notepad．exe练习　108
13．6　EAT　112
13．6．1　IMAGE_EXPORT_DIRECTORY　113
13．6．2　使用kernel32．dll练习　114
13．7　高级PE　116
13．7．1　PEView．exe　116
13．7．2　Patched PE　117
13．8　小结　118

第14章　运行时压缩　121
14．1　数据压缩　121
14．1．1　无损压缩　121
14．1．2　有损压缩　121
14．2　运行时压缩器　122
14．2．1　压缩器　122
14．2．2　保护器　123
14．3　运行时压缩测试　123

第15章　调试UPX压缩的notepad程序　127
15．1　notepad．exe的EP代码　127
15．2　notepad_upx．exe的EP代码　127
15．3　跟踪UPX文件　129
15．3．1　OllyDbg的跟踪命令　129
15．3．2　循环 #1　129
15．3．3　循环 #2　130
15．3．4　循环 #3　131
15．3．5　循环 #4　131
15．4　快速查找UPX OEP的方法　132
15．4．1　在POPAD指令后的JMP指令处设置断点　132
15．4．2　在栈中设置硬件断点　133
15．5　小结　133

第16章　基址重定位表　135
16．1　PE重定位　135
16．1．1　DLL/SYS　135
16．1．2　EXE　136
16．2　PE重定位时执行的操作　136
16．3　PE重定位操作原理　138
16．3．1　基址重定位表　138
16．3．2　IMAGE_BASE_RELOCATION结构体　139
16．3．3　基址重定位表的分析方法　139
16．3．4　练习　141

第17章　从可执行文件中删除．reloc节区　142
17．1　．reloc节区　142
17．2　reloc．exe　142
17．2．1　删除．reloc节区头　142
17．2．2　删除．reloc节区　143
17．2．3　修改IMAGE_FILE_HEADER　143
17．2．4　修改IMAGE_OPTIONAL_HEADER　144
17．3　小结　145

第18章　UPack PE文件头详细分析　146
18．1　UPack说明　146
18．2　使用UPack压缩notepad．exe　146
18．3　使用Stud_PE工具　148
18．4　比较PE文件头　148
18．4．1　原notepad．exe的PE文件头　149
18．4．2　notepad_upack．exe运行时压缩的PE文件头　149
18．5　分析UPack的PE文件头　150
18．5．1　重叠文件头　150
18．5．2　IMAGE_FILE_HEADER．SizeOfOptionalHeader　150
18．5．3　IMAGE_OPTIONAL_HEADER．NumberOf-RvaAndSizes　152
18．5．4　IMAGE_SECTION_HEADER　153
18．5．5　重叠节区　155
18．5．6　RVA to RAW　156
18．5．7　导入表(IMAGE_IMPORT_DESCRIPTOR array)　158
18．5．8　导入地址表　160
18．6　小结　161

第19章　UPack调试? 查找OEP　162
19．1　OllyDbg运行错误　162
19．2　解码循环　163
19．3　设置IAT　165
19．4　小结　166

第20章　“内嵌补丁”练习　167
20．1　内嵌补丁　167
20．2　练习：Patchme　168
20．3　调试：查看代码流　168
20．4　代码结构　172
20．5 “内嵌补丁”练习　173
20．5．1　补丁代码要设置在何处呢　173
20．5．2　制作补丁代码　175
20．5．3　执行补丁代码　176
20．5．4　结果确认　177

第三部分　DLL注入
第21章　Windows消息钩取　180
21．1　钩子　180
21．2　消息钩子　180
21．3　SetWindowsHookEx()　181
21．4　键盘消息钩取练习　182
21．4．1　练习示例HookMain．exe　182
21．4．2　分析源代码　185
21．5　调试练习　187
21．5．1　调试HookMain．exe　188
21．5．2　调试Notepad．exe进程内的KeyHook．dll　190
21．6　小结　192

第22章　恶意键盘记录器　194
22．1　恶意键盘记录器的目标　194
22．1．1　在线游戏　194
22．1．2　网上银行　194
22．1．3　商业机密泄露　194
22．2　键盘记录器的种类与发展趋势　195
22．3　防范恶意键盘记录器　195
22．4　个人信息　195

第23章　DLL注入　197
23．1　DLL注入　197
23．2　DLL注入示例　198
23．2．1　改善功能与修复Bug　198
23．2．2　消息钩取　198
23．2．3　API钩取　198
23．2．4　其他应用程序　199
23．2．5　恶意代码　199
23．3　DLL注入的实现方法　199
23．4　CreateRemoteThread()　199
23．4．1　练习示例myhack．dll　199
23．4．2　分析示例源代码　203
23．4．3　调试方法　208
23．5　AppInit_DLLs　210
23．5．1　分析示例源码　211
23．5．2　练习示例myhack2．dll　212
23．6　SetWindowsHookEx()　214
23．7　小结　214

第24章　DLL卸载　216
24．1　DLL卸载的工作原理　216
24．2　实现DLL卸载　216
24．2．1　获取进程中加载的DLL信息　219
24．2．2　获取目标进程的句柄　220
24．2．3　获取FreeLibrary() API地址　220
24．2．4　在目标进程中运行线程　220
24．3　DLL卸载练习　220
24．3．1　复制文件及运行notepad．exe　220
24．3．2　注入myhack．dll　221
24．3．3　卸载myhack．dll　222

第25章　通过修改PE加载DLL　224
25．1　练习文件　224
25．1．1　TextView．exe　224
25．1．2　TextView_patched．exe　225
25．2　源代码 - myhack3．cpp　227
25．2．1　DllMain()　227
25．2．2　DownloadURL()　228
25．2．3　DropFile()　229
25．2．4　dummy()　230
25．3　修改TextView．exe文件的准备工作　231
25．3．1　修改思路　231
25．3．2　查看IDT是否有足够空间　231
25．3．3　移动IDT　233
25．4　修改TextView．exe　235
25．4．1　修改导入表的RVA值　235
25．4．2　删除绑定导入表　235
25．4．3　创建新IDT　235
25．4．4　设置Name、INT、IAT　236
25．4．5　修改IAT节区的属性值　238
25．5　检测验证　240
25．6　小结　241

第26章　PE Tools　242
26．1　PE Tools　242
26．1．1　进程内存转储　243
26．1．2　PE编辑器　245
26．2　小结　245

第27章　代码注入　247
27．1　代码注入　247
27．2　DLL注入与代码注入　247
27．3　练习示例　249
27．3．1　运行notepad．exe　249
27．3．2　运行CodeInjection．exe　249
27．3．3　弹出消息框　250
27．4　CodeInjection．cpp　250
27．4．1　main()函数　251
27．4．2　ThreadProc()函数　251
27．4．3　InjectCode()函数　254< 逆向工程核心原理下载 mobi epub pdf txt 电子书格式