逆向分析實戰

本書的主要內容為：數據的存儲及表示形式、彙編語言入門、熟悉調試工具OllyDbg、PE工具詳解、PE檔案格式實例（包括加殼與脫殼工具的使用）、十六進制編輯器與反編紙堡符譯工具、IDA與逆向、逆向工具原理實現等。

本書可以作為程式設計師、安全技術的研究人員、安全技術愛好者閱讀。

第 1章 數據的存儲及表示形式 1

1.1 進制及進制的轉換 1

1.1.1 現實生活中的進制與計算機的二進制 1

1.1.2 進制的定義 2

1.1.3 進制的轉換 2

1.2 數據寬度、位元組序和ASCII碼 4

1.2.1 數據的寬度 4

1.2.2 數值的表示範圍 4

1.2.3 位元組序 5

1.2.4 ASCII碼 6

1.3 在OD中查看數據 6

1.4 編程判斷主機字元序 11

1.4.1 位元組紋晚轎序相關函式 11

1.4.2 編程判斷主機位元組序 11

1.5 總結 13

第 2章 彙編語言入門 14

2.1 x86彙編語言介紹 14

2.1.1 暫存器 15

2.1.2 在OD中認識暫存器 19

2.2 常用彙編指令集 20

2.2.1 指令介紹 20

2.2.2 常用指令介紹 21

2.3 定址方式 36

2.4 總閥戶臭懂結 37

第3章 熟悉調試工具OllyDbg 39

3.1 認識OD調試環境 39

3.1.1 啟動調試 39

3.1.2 熟悉OD視窗 42

3.2 OD中的斷點及跟蹤功能 46

3.2.1 OD中設定斷點的方法 47

3.2.2 OD中跟蹤代碼的介紹 52

3.3 OD中的查找享章剃功能和編輯功能 53

3.3.1 OD的搜尋功能 53

3.3.2 OD修改的編輯功能 55

3.4 OD中的外掛程式功能 56

3.4.1 OD常用外掛程式介紹 56

3.4.2 OD外掛程式腳本編寫 58

3.4.3 OD外掛程式的開發 59

3.5 總結 63

第4章 PE工具詳解 64

4.1 常用PE工具介紹 64

4.1.1 PE工具 64

4.1.2 Stud_PE介紹 65

4.1.3 PEiD介紹 66

4.1.4 LordPE介紹 66

4.2 PE檔案格式詳解 67

4.2.1 PE檔案結構全貌介紹 68

4.2.2 詳解PE檔案結構 70

4.2.3 PE結構的三種地址 84

4.3 數據相關結構詳解 90

4.3.1 導入表 91

4.3.2 導出表 104

4.3.3 重定位表 110

4.4 總結 118

第5章 PE檔案格式實例 119

5.1 手寫PE檔案 119

5.1.1 手寫PE檔案的準備工作 119

5.1.2 用十六進制位元組完成PE檔案 120

5.2 手工對PE檔案進行減肥 132

5.2.1 修改壓縮節區 132

5.2.2 節表合併 135

5.2.3 結構重疊 140

5.2.4 小結 148

5.3 PE結構相關工具 148

5.3.1 增加節區 148

5.3.2 資源編輯 149

5.4 加殼與脫殼工具的使用 154

5.4.1 什膠拳么是殼 154

5.4.2 簡單殼的原理 155

5.4.3 加殼工具與脫殼工具的使用 166

5.5 PE32+簡介 180

5.5.1 檔案頭 180

5.5.2 可選頭 181

5.6 總結 182

第6章 十六進制編輯器與反編譯工具 183

6.1 C32Asm 183

6.1.1 檔案的打開方式 183

6.1.2 反彙編模式 185

6.1.3 十六進制模式 189

6.2 WinHex 193

6.2.1 記憶體搜尋功能 194

6.2.2 使用模板解析數據 196

6.2.3 完成一個簡單的模板 198

6.3 其他十六進制編輯器 200

6.3.1 UltraEdit簡介 200

6.3.2 010Editor簡介 201

6.4 反編譯工具介紹 202

6.4.1 DeDe反編譯工具 202

6.4.2 VB反編譯工具 206

6.4.3 .NET反編譯工具 208

6.4.4 Java反編譯工具 211

6.5 總結 211

第7章 IDA與逆向 213

7.1 IDA工具介紹 213

7.1.1 IDA的啟動與關閉 213

7.1.2 IDA常用界面介紹 216

7.1.3 IDA的棄悼仔腳本功能 228

7.2 C語言代碼逆向基礎 231

7.2.1 函式的識別 232

7.2.2 if…else…結構分析 242

7.2.3 switch結構分析戒采歡試 244

7.2.4 循環結構分析 247

7.3 總結 252

第8章 逆向工具原理實現 253

8.1 PE工具的開發 253

8.1.1 GetProcAddress函式的使用 253

8.1.2 GetProcAddress函式的實現 254

8.2 調試工具的開發 238

8.2.1 常見的三種斷點 259

8.2.2 調試API函式及相關結構體介紹 262

8.2.3 打造一個密碼顯示器 273

8.3 總結 277

參考文獻 278

5.1.1 手寫PE檔案的準備工作 119

5.1.2 用十六進制位元組完成PE檔案 120

5.2 手工對PE檔案進行減肥 132

5.2.1 修改壓縮節區 132

5.2.2 節表合併 135

5.2.3 結構重疊 140

5.2.4 小結 148

5.3 PE結構相關工具 148

5.3.1 增加節區 148

5.3.2 資源編輯 149

5.4 加殼與脫殼工具的使用 154

5.4.1 什麼是殼 154

5.4.2 簡單殼的原理 155

5.4.3 加殼工具與脫殼工具的使用 166

5.5 PE32+簡介 180

5.5.1 檔案頭 180

5.5.2 可選頭 181

5.6 總結 182

第6章 十六進制編輯器與反編譯工具 183

6.1 C32Asm 183

6.1.1 檔案的打開方式 183

6.1.2 反彙編模式 185

6.1.3 十六進制模式 189

6.2 WinHex 193

6.2.1 記憶體搜尋功能 194

6.2.2 使用模板解析數據 196

6.2.3 完成一個簡單的模板 198

6.3 其他十六進制編輯器 200

6.3.1 UltraEdit簡介 200

6.3.2 010Editor簡介 201

6.4 反編譯工具介紹 202

6.4.1 DeDe反編譯工具 202

6.4.2 VB反編譯工具 206

6.4.3 .NET反編譯工具 208

6.4.4 Java反編譯工具 211

6.5 總結 211

第7章 IDA與逆向 213

7.1 IDA工具介紹 213

7.1.1 IDA的啟動與關閉 213

7.1.2 IDA常用界面介紹 216

7.1.3 IDA的腳本功能 228

7.2 C語言代碼逆向基礎 231

7.2.1 函式的識別 232

7.2.2 if…else…結構分析 242

7.2.3 switch結構分析 244

7.2.4 循環結構分析 247

7.3 總結 252

第8章 逆向工具原理實現 253

8.1 PE工具的開發 253

8.1.1 GetProcAddress函式的使用 253

8.1.2 GetProcAddress函式的實現 254

8.2 調試工具的開發 238

8.2.1 常見的三種斷點 259

8.2.2 調試API函式及相關結構體介紹 262

8.2.3 打造一個密碼顯示器 273

8.3 總結 277

參考文獻 278