|
|
马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
: }2 [( z/ t. h+ z* k6 @' D
3 B6 P0 j' e m1 ]& e; O$ W
书名:《Windows PE 权威指南》( \& j: q3 G% m/ Z5 n
作者:戚利
2 [8 ?5 V {$ }9 O5 u* O出版社:机械工业出版社# z8 d8 m& X7 U4 M$ \* O' B/ P4 v
出版年:2011年10月10日
& D6 o- D; g. y5 }+ C+ C" H4 {* [: O2 u定价:89.00元7 D8 _/ h! H1 K. b# X# G; T/ n# O
装帧:平装' g" U7 o: @8 ?) V- W. V. p; l' b7 W
ISBN:9787111354185
+ j1 o, v, I F. T
L, I, @4 i: f0 v0 v3 r" |4 p购买链接:" T% Y; W) l Z: x: f8 ~
7 {0 e4 @7 a- `& ?
# y. L8 I# v5 u) A' q. Y亚马逊(kindle)-> 传送门; b+ y8 q; v( W& P7 s
! C0 V! v$ M# H
当当网 -> 传送门
$ |8 F& R# E$ \. N3 I, C# F" P- L/ x8 F
京东 -> 传送门
5 h& y+ e/ _" k6 b1 @ I5 O& X. V9 ?3 M4 L7 \# V
! z a7 O" o$ r& \! K
内容简介:
4 V9 ]/ ~# l, o9 ]* Y6 a; E( B. V% m/ Y P; P4 x) Q6 K2 Y1 Y6 B8 f
1 n4 Z" P# B& f# X+ P0 e2 P
内容全面,详尽地剖析了 Windows PE 文件格式的原理及其编程技术,涉及安全领域的各个方面和 Windows 系统的进程管理和底层机制;实战性强,以案例驱动的方式讲解了 Windows PE 文件格式在加密与解密、软件汉化、逆向工程、反病毒等安全领域的应用,不仅每个知识点都配有小案例,而且还有多个完整的商业案例。# d, I: R( Z# H
/ z, j5 e# G7 U
戚利编著的《Windows PE 权威指南》共分为三大部分:第一部分简单介绍了学习本书需要搭建的工作环境和必须具备的工具,深入分析了 PE 文件头、导入表、导出表、重定位表、资源表、延迟导入表、线程局部存储、加载配置信息等核心技术的概念、原理及其编程方法,有针对性地讲解了程序设计中的重定位、程序堆栈、动态加载等;第二部分讨论了 PE 头部的变形技术及静态附加补丁的技术,其中静态附加补丁技术重点讲解了如何在空闲空间、间隙、新节、最后一节四种情况下打补丁和进行编码的方法;第三部分精心编写了多个大型而完整的 PE 应用案例,以 PE 补丁作为重要手段,通过对目标 PE 文件实施不同的补丁内容来实现不同的应用,详细展示了 EXE 捆绑器、软件安装自动化、EXE 加锁器、EXE 加密、PE 病毒提示器以及 PE 解毒的实现过程和方法。
- n ~: U. [. ]2 f7 _1 K$ A
+ a* Y- Z2 \- `2 d3 |+ ^& I 《Windows PE 权威指南》不仅适合想深入理解 Windows 系统进程管理和运作机制的读者,而且还适合从事加密与解密、软件汉化、逆向工程、反病毒工作的安全工作者。此外,它还适合想全面了解 Windows PE 文件结构和对程序字节码感兴趣的读者。
$ G+ K( G, p' d+ [# Z6 N
( O9 t! U7 u4 M. T \4 u: P# P9 F: y9 _: V
目录:) T K6 z- J, b5 X0 B$ L8 v) X- d5 y- m( T
$ u! k- } \6 S( _) r
& @) k% ]/ r. q9 ?前言
+ G3 y8 Y4 t+ e, w* p% R) O7 C. M, w/ g; l8 O& o4 q
第一部分 PE的原理和基础
- I9 h4 y( I6 ?9 r* z# t0 j, V& T; T0 F% Y# X
第1章 Windows PE 开发环境/2
6 G; s! I. N9 _' L- `$ G! L+ k6 J0 c) H3 y" P& ]6 V. f
1.1 开发语言MASM32 /2
2 a; ~- p3 s/ _0 `$ y5 d; ?! O' }! `1.1.1 设置开发环境/3 " F/ B7 I# l' Q( v3 ]& O0 J: K
1.1.2 开发第一个源程序HelloWorld.asm /5 9 S( V3 c) k8 \. a$ W7 P
1.1.3 运行HelloWorld.exe /7
) M. O& a# t2 u% {- [8 d, b5 z1.2 调试软件OllyDBG /10 ) P2 _* U% ]; C" [* k
1.2.1 调试HelloWorld.exe /10 7 y# c: ^$ _4 o' R+ g
1.2.2 修改EXE文件字节码 /16
4 d+ @6 Q$ }' l1.3 十六进制编辑软件FlexHex /18 0 f4 y+ c9 k& l) C8 ~6 {
1.4 破解实例:U盘监控器 /20
( O/ T w2 Z" {, N1.5 初识PE文件 /23 2 Q8 t; r! t) i% M! w
1.6 小结 /26 8 W9 {5 b# j7 M; v m5 d/ V' j4 J: c
$ l) \3 x, a4 V2 @! B5 r& ?3 E9 l
第2章 三个小工具的编写/27 - L9 F% U% q; b9 x, f3 w
- ?+ r7 |! p- |' Y; N, Q2.1 构造基本窗口程序/27 8 U2 J0 U6 B' W7 E8 R3 }. b
2.1.1 构造窗口界面/27
. ]4 v" m: X5 M: j$ q. l2.1.2 编写相关的资源文件/28
1 J. o: ?" F8 C( p# j+ {" l* F2.1.3 通用程序框架的实现/29 " H' t7 Z; i- u M! W
2.2 PEDump的实现/32 $ L" k# m3 n" w; `- Y* I4 r. A
2.2.1 编程思路/32 - c4 f8 }. O, A5 o
2.2.2 PEDump编码/34
) I [5 M% `% f2.2.3 PEDump代码中的数据结构/38
. P' ?0 j0 b R( z3 H9 T' R2.2.4 运行PEDump /39 2 [ r0 d/ I2 Q ]
2.3 PEComp的实现/40 6 I3 f3 n6 F+ O
2.3.1 编程思路/41 $ V# _6 d$ f/ c* s' \$ E2 c$ t
2.3.2 定义资源文件/41
" j8 X6 r1 s, U3 Y4 H2.3.3 PEComp编码/41 # H- v! R! e+ f! @
2.3.4 运行PEComp /47 ) i& v+ R+ b" q
2.4 PEInfo的实现/47
1 k- h9 |7 l/ v3 _2.4.1 编程思路/48
* ]1 M+ t" y, F# B1 Q8 e9 |% Y2.4.2 PEInfo编码/48
4 A# E: k8 I, O: o2.4.3 运行PEInfo /52 + X1 ]7 K; n% h+ K
2.5 小结/53
; C6 Z& k9 ]6 }' O6 s7 V
. `* v2 I; ~- X( p9 M0 z7 j1 F3 h第3章 PE文件头/54 9 k& a' j' P A L/ v) O
) J1 J/ V: d' {+ [' @
3.1 PE的数据组织方式/54 : `; W8 y L+ @$ y
3.2 与PE有关的基本概念/58
% V( w4 z: ]4 c7 I% G3.2.1 地址/58
& l& k: u9 q X, M$ S7 P3.2.2 指针/60
1 X" P9 ] ~. S& V2 d$ S4 N" z; N: P3.2.3 数据目录/60 * A8 L8 G W" h- o" x; D$ G/ I
3.2.4 节/60
) P7 {4 t3 N/ z, X0 }3.2.5 对齐/61
) U3 y) T8 Q0 f# y- o% V3.2.6 Unicode字符串/62
$ s6 S' a( x8 S3.3 PE文件结构/62
( {- a! l3 c' ]; v$ X9 f( A3.3.1 16位系统下的PE结构/62 1 F" d' c' r/ |0 _+ R
3.3.2 32位系统下的PE结构/66 : a7 K. ]: P8 { _" F8 o) {3 X2 d
3.3.3 程序员眼中的PE结构/68
" i" d3 p5 c K% t8 _' D3.4 PE文件头部解析/69
$ z L, U/ I! ^6 m3.4.1 DOS MZ头IMAGE_DOS_HEADER /69
$ V; B8 ]* C* M3.4.2 PE头标识Signature /69
/ v- k" f% g# V# Y) P) O% W3.4.3 标准PE头IMAGE_FILE_HEADER /70 . k+ v p" @$ c! j- S# [
3.4.4 扩展PE头IMAGE_OPTIONAL_HEADER32 /70 2 O( Q# t) n- X
3.4.5 PE头IMAGE_NT_HEADERS /71 # X- L3 Q/ C2 f! c6 _+ f
3.4.6 数据目录项IMAGE_DATA_DIRECTORY /71 9 M0 ^2 F: _9 [% L/ @
3.4.7 节表项IMAGE_SECTION_HEADER /74
' ?, z0 ^3 o, q5 u7 ^3.5 数据结构字段详解/74 0 f/ U% C3 Y) F
3.5.1 PE头IMAGE_NT_HEADER的字段/75
% O) q l0 A O2 V& h6 V3.5.2 标准PE头IAMGE_FILE_HEADER的字段/75
" l6 i( }& \6 ~* J$ ^. c3.5.3 扩展PE头IMAGE_OPTIONAL_HEADER32的字段/78 ! E: i: F C. X6 e q* V8 H4 R& Z
3.5.4 数据目录项IMAGE_DATA_DIRECTORY的字段/87
& \5 S8 L9 P3 V( L3 @3.5.5 节表项IMAGE_SECTION_HEADER的字段/87
$ P; ?4 A& r. d% \" y3.5.6 解析HelloWorld程序的字节码/88
3 O2 U* C- Y$ C3.6 PE内存映像/92
8 g, ]; [4 Z* q ^+ |3.7 PE文件头编程/93 6 y. y* j+ ]; Y( s! V4 y) t7 e
3.7.1 RVA与FOA的转换/93 l# l) [! x. c2 M8 K# ]
3.7.2 数据定位/95 " P2 \. V: j- p* M" Z: S5 d. L
3.7.3 标志位操作/101 4 w) H' N% A1 r3 [
3.7.4 PE校验和/102
) A4 M) W5 E% V3.8 小结/104
; K1 @& v( j9 s8 ^
& L3 O( h/ q8 X第4章 导入表/105
" Y* D% Y0 D6 h% S6 M# l6 E. C4 c" J; ^( d& l8 P
4.1 何谓导入表/105
) P7 p9 y, g2 d: e. g% p4.2 导入函数/105 ) q1 i! q$ {/ @) `2 ]5 u
4.2.1 invoke指令分解/106 ! P: G+ D2 S" M3 J J2 @
4.2.2 导入函数地址/107 9 {1 i n" f3 H+ A! }" M( s
4.2.3 导入函数宿主/109
2 e) s4 ^, i3 m1 W& S2 K4.3 PE中的导入表/112 ! i7 }- k9 i5 j1 o
4.3.1 导入表定位/112 + t2 I7 E0 O! \& N% v) k) f. G
4.3.2 导入表描述符IMAGE_IMPORT_DESCRIPTOR /113
" |/ v1 R# x, q6 L" e3 j" }4.3.3 导入表的双桥结构/114 ( R2 \3 W* a$ D' \/ X% R
4.3.4 导入函数地址表/116 / f' E# \5 @$ l+ B* f5 Z) ?" y' U7 Y2 z
4.3.5 构造调用同一个DLL文件的多个函数的导入表/117 % i7 B6 ]" z( f/ P+ Q
4.4 导入表编程/121 8 ~, k$ }1 H; p) }% x
4.4.1 导入表遍历的思路/121 $ g4 B) `* e$ I) k2 _
4.4.2 编写函数_getImportInfo /122
% {- v. [8 Q* x; G; Y4.4.3 运行测试/124
; a, e# R' K# F: X9 I* L4.5 绑定导入/124 4 F" f' j9 H3 }6 O
4.5.1 绑定导入机制/124
. O$ U0 a# g9 c/ \4.5.2 绑定导入数据定位/125
8 h1 {' P8 G4 f/ o4.5.3 绑定导入数据结构/126 & R4 u ^" Y$ q6 L n" M- G
4.5.4 绑定导入实例分析/127 : p& E* Q; H7 a5 ~" I
4.6 手工重组导入表/128
4 o. T3 c9 q" ?4.6.1 常用注册表API /128 3 a4 ]+ \2 ?, C0 m" G& }
4.6.2 构造目标指令/132
3 N- f" |' Y9 C/ S8 `: \) |4.6.3 PE头部变化/135 7 s- a7 Z; W2 \+ q5 ]. y- L
4.6.4 手工重组/136 ' C" ?; A* N1 H
4.6.5 程序实现/141 4 n, w: P7 j) @9 Z. }
4.6.6 思考:关于IAT的连贯性/142
, T* E8 G, M K$ Z4.6.7 思考:关于导入表的位置/143
/ C0 r2 o3 v6 R1 O# c. Z- u$ R& E4.7 小结/144 : \. T" y/ @4 ]
F0 j6 v) I% `$ ^) u, I第5章 导出表/145 : \4 a) A m# D7 ?7 G2 ]
6 h1 m# Z% ]6 e* @" [* [& l
5.1 导出表的作用/145 ) c( N& h* V% E
5.1.1 分析动态链接库功能/145
& A) u c3 O: u L% I9 H5.1.2 获得导出函数地址/146 $ q) Q: O2 v7 h2 X$ O" d$ O; H3 I
5.2 构造含导出表的PE文件/146 : U' x. G, D$ l C+ m& L/ j/ ` w
5.2.1 DLL源代码/147 , \( F: y: [5 r `. M# g
5.2.2 编写def文件/151
4 ~6 [. |: y8 d9 v5.2.3 编译和链接/152 9 i0 a, o; k4 C- B
5.2.4 编写头文件/152 ! l+ }; L C$ e( g, S1 A8 ~4 |
5.2.5 使用导出函数/152 - `7 k1 K1 y- Y
5.3 导出表数据结构/155 / W* z3 F3 j! C Z" W
5.3.1 导出表定位/155
7 F( ?/ O: {/ l5.3.2 导出目录IMAGE_EXPORT_DIRECTORY/156
9 o, \5 h; \' k; R5.3.3 导出表实例分析/158
. j1 O: k8 X8 J+ E; P \6 v5.4 导出表编程/160
5 c, B& h* \) r2 s" }5.4.1 根据编号查找函数地址/160 ( f2 M; l. u5 I' I$ Q; j
5.4.2 根据名字查找函数地址/160 4 e' ?; O1 i) F- y$ q% c$ m, r
5.4.3 遍历导出表/162 5 \5 d: a& K% R- `
5.5 导出表的应用/165 * O: Y% Y% K2 Z1 ~/ ]
5.5.1 导出函数覆盖/165
3 X3 f3 g; ~( n- I% @+ J5.5.2 导出私有函数/167
4 B. W6 A& b4 V3 m3 ^5.6 小结/169 6 F5 `3 h# v/ X
0 A$ r8 W- |' i$ ^8 U4 C J/ ? c0 s0 f$ \第6 章 栈与重定位表/170
7 z# M: v' n3 m1 J1 [
S8 n, v4 E. Y5 J* u& u6.1 栈/170
+ k& [- p( s7 s# b& o- [" _. X. \6.1.1 栈的应用场合/170 - u E8 ~9 @5 ~
6.1.2 call调用中的栈实例分析/173
3 c$ l( j3 z+ l1 ?6 `; \" y7 |1 U% x6.1.3 栈溢出/177
5 e( s' b! y8 l6.2 代码重定位/181
1 y& e' W- A6 x6 Y2 h6.2.1 重定位的提出 /181 7 i7 F/ F5 R4 ]$ P
6.2.2 实现重定位的方法/182 0 A9 [; j, q$ h8 M6 Y* @/ W0 G
6.2.3 重定位编程/183 3 g1 b) k" r! _% W
6.3 PE文件头中的重定位表/189
8 @, H. P8 d- t+ r4 W% V# {6.3.1 重定位表定位/189
# S6 B8 ]8 D+ b' l r9 l) U6.3.2 重定位表项IMAGE_BASE_RELOCATION /190 . g, T" ~, U7 J( b. c( r/ n
6.3.3 重定位表的结构/191
9 w# I% @) }" I/ u, j, p* O4 U6.3.4 遍历重定位表/192 % p- j* c- m. T F6 N3 U9 Q7 h
6.3.5 重定位表实例分析/195
2 T4 ]6 M! e6 o& x3 e6.4 小结/196
% `* _) G$ B4 G) }8 q6 }3 D5 I5 _& `6 R; _/ F; R$ a0 z5 i" Q! x, @
第7章 资源表/197
6 e4 o1 o& M* }# F3 V- F r: q
" d9 W' b' X, q+ X+ I. e7.1 资源分类/197
( T! `" m: U) _, O8 b7.1.1 位图、光标、图标资源/199
, ^0 l. f5 h+ f G l- e& F7.1.2 菜单资源/199 " ^' p- c! R' J" ^0 U
7.1.3 对话框资源/200 & k0 m; n) A8 U
7.1.4 自定义资源/201 ; E( \/ w4 t9 p
7.2 PE资源表组织/202
1 z8 {# S. ?# J* w7.2.1 资源表的组织方式/202
4 l7 I3 X/ L) m# G7.2.2 资源表数据定位/203 * a+ j, t( w$ P7 ?! |
7.2.3 资源目录头IMAGE_RESOURCE_DIRECTORY /204
, ?2 `* q& i. Z7.2.4 资源目录项IMAGE_RESOURCE_DIRECTORY_ENTRY /205 9 Z' j$ }$ W: e
7.2.5 资源数据项IMAGE_RESOURCE_DATA_ENTRY /206 3 W6 e, ?: U# w7 X# N5 B" F0 J
7.2.6 三级结构中目录项的区别/207 8 q7 J( Z/ q$ d$ G! I: D2 S6 C
7.3 资源表遍历/208
) v4 U/ r* q% f( x% Q$ s$ [7.4 PE资源深度解析/213 ! x# t; F7 g4 |; @/ S' C. Q
7.4.1 资源脚本/213
8 y$ C) Z3 A. B6 j) G# |3 C7.4.2 使用PEInfo分析资源表/214 / y$ ?& _9 l: d5 `
7.4.3 菜单资源解析/216 ) h. U; J2 n1 e) y7 k# |5 f3 o, }
7.4.4 图标资源解析/218
F. y$ d9 i6 u- Z7 c7.4.5 图标组资源解析/223
. m! ?. H: u4 {& d5 H; P1 }% X7.4.6 对话框资源解析/224 ( K7 d- x3 C3 I& ~
7.5 资源表编程/228 # ^( |: O( h A5 ]: i. q9 B
7.5.1 更改图标实验/229
4 ?, z7 f$ z' D; n' E5 V+ m7.5.2 提取程序图标实例/231
6 G, b+ U4 v' e* C" ^1 @7.5.3 更改程序图标实例/241
; F' Y5 e0 Z: X7.6 小结/244 2 _% }% P4 B- o/ q! e3 R$ H' n: A
% s r) c8 h, E
第8章 延迟加载导入表/245
1 D0 [# z3 P+ J2 e
* ~ }$ [% }7 a3 Y% O8.1 延迟加载导入的概念及其作用/245 / \; M' @* o+ ?
8.1.1 提高应用程序加载速度/246
0 N9 V, y) w* l6 M# X4 Q6 a8 q8.1.2 提高应用程序兼容性/246
, ~) I& D& N$ Q6 ?* g8.1.3 提高应用程序可整合性/247 ' ^9 N$ |3 H: ^5 u. Q
8.2 PE中的延迟加载导入表/247 : u) u" ]+ _% e9 j
8.2.1 延迟加载导入表数据定位/247
% r. p8 s6 m; H9 \8.2.2 延迟加载导入描述符IMAGE_DELAY_IMPORT_DESCRIPTOR /248 5 J0 g# D" K! K! q$ V( o
8.2.3 延迟加载导入表实例分析/249
1 R" e0 ~. f8 I i* u" d$ x8.3 延迟加载导入机制详解/251
1 v0 L# i7 n" d4 p/ L- a! R& \& x8.4 延迟加载导入编程/253
' U% ?# L y) q/ X: ?7 A8.4.1 修改资源文件pe.rc /253
9 j; @+ P: \7 E8.4.2 修改源代码pe.asm /253
! T: X/ _& ?! {8.5 关于延迟加载导入的两个问题/255
0 g0 e# _% P4 ?3 s6 S8.5.1 异常处理/255
v/ m$ G$ |5 b6 y; K4 E8.5.2 DLL的卸载/255
8 Y2 D" f/ c) W2 |8.6 小结/256
% d# J" R& [" s8 T/ \
0 ?* `9 l/ k/ n0 m2 B2 w4 O第9章 线程局部存储/257 + w5 [) e! w8 E. ^; i& t$ B9 q
! T, l' U+ Z; j2 K1 s: g2 s. \( [
9.1 Windows进程与线程/257 7 w: }. o3 H' p& I+ W9 C9 M: E* p% J
9.1.1 Windows体系结构/257 / v4 `+ }# m- J/ K& g. [0 q. D; v
9.1.2 进程与线程创建/258 / T/ F( |9 e: Z
9.1.3 进程环境块PEB /262
4 U' `- A& u/ F7 I, E, E0 N3 c9.1.4 线程环境块TEB /264 + e2 \. J# l9 a( k
9.2 什么是线程局部存储/265
4 r% ~4 n* g4 _4 Q. w; c" Z9.3 动态线程局部存储/267
# E2 M) t4 d7 N; T- g1 P/ B4 g( y9.3.1 动态TLS实例/267
, E, X% d6 k# U+ @9 g9.3.2 获取索引TlsAlloc /274 9 R; X( k8 e; k: J( W
9.3.3 按索引取值TlsGetValue /275
( |7 D) R# A& y3 R9.3.4 按索引存储TlsSetValue /275 / N& x+ [8 W+ i2 W8 g
9.3.5 释放索引TlsFree /275 * b9 k# f0 e3 L
9.4 静态线程局部存储/276
) D! a! X8 l! D$ i6 i9.4.1 TLS定位/277
8 U. [$ v1 y0 E1 O, _9.4.2 TLS目录结构IMAGE_TLS_DIRECTORY32 /278 q9 k1 b( p3 k- l' n# ~
9.4.3 静态TLS实例分析/278 # T( g* Q/ i& A8 |3 D4 M- s
9.4.4 TLS回调函数/279
# D5 \9 G3 d2 X: n; \7 x( n0 N9.4.5 测试静态TLS下的线程存储初始化回调函数/280 ; o0 V+ |4 H5 S- ^' B' J
9.5 小结/281
0 {& @- E1 i- x- _
: }7 H% D( k. @7 Q第10章 加载配置信息/282
" r( S: M, ]' g; F/ ]! W, `8 `0 F) J$ {, }" c8 ]3 j m: M
10.1 何谓加载配置信息/282 7 C$ y+ i' ^" K- o E
10.2 Windows结构化异常处理/282
0 O0 Z( C9 `' C% k1 ~. ]5 `10.2.1 什么是SEH /283 , e! q1 [/ i, x& s, e
10.2.2 Windows异常分类/285 # X9 ~& w/ z; c+ Q5 C4 h, c
10.2.3 内核模式下的异常处理/286 . v* h( l% g1 k9 e- J# B6 w
10.2.4 用户模式下的异常处理/289
/ x) |% g7 O, M& N10.2.5 Windows SEH机制解析/294
$ d1 w5 X- }! W1 [10.2.6 SEH编程实例/295
; V& g- N0 ~% H. {10.3 PE中的加载配置信息/299 ' y0 l5 {( \4 N- h
10.3.1 加载配置信息定位/300
7 b+ j) }& r* R) O" H$ h10.3.2 加载配置目录IMAGE_LOAD_CONFIG_DIRECTORY /300 9 Z4 Z+ R* F" N# F
10.3.3 加载配置信息实例分析/302
; h0 T* z4 i5 z10.4 加载配置编程/303
]) S& f3 M- C6 E2 D$ Z' N10.4.1 程序源代码分析/304 " V$ D& [) L1 F! B3 z" s$ r
10.4.2 为PE添加加载配置信息/306 1 i$ ?" L1 R B* [2 ?
10.4.3 运行测试/306
' `; A, N, b! U3 s; m10.4.4 注册多个异常处理函数示例/307
( l0 z3 j _' l' k" i1 r10.5 小结/309 7 I( h- u5 ]' p
( J0 r0 t3 r" S! W5 @& @
第11章 动态加载技术/310 7 \; a6 J: r( h7 ^
: i, B; |8 o6 B$ H- H3 p
11.1 Windows虚拟地址空间分配/310
$ D* E2 \4 p& }8 d/ Z6 M11.1.1 用户态低2GB空间分配/310 1 E- F# s2 ~- p2 B) ^
11.1.2 核心态高2GB空间分配/311
% s2 o5 c4 B7 B0 h11.1.3 HelloWorld进程空间分析/312 : O+ n# S1 {1 m' E
11.2 Windows动态库技术/313 # Z0 ?% a5 n; u9 B" ]2 ~) H- a5 L* |
11.2.1 DLL静态调用/313 3 X* t) A$ c) c
11.2.2 DLL动态调用/314 0 `. G; ^) J2 ?9 d S' l, L: }
11.2.3 导出函数起始地址实例/314
/ o$ q' }5 i- |' u- M' _11.3 在编程中使用动态加载技术/315
z' |. F, e2 ^4 a g5 a5 Z+ c" R/ e11.3.1 获取kernel32.dll基地址/316 ) m( m* C/ O$ I: l
11.3.2 获取GetProcAddress地址/322
7 J( @$ N' M- o7 `3 O- [11.3.3 在代码中使用获取的函数地址编程/325 - x& b/ o: b- W
11.3.4 动态API技术编程实例/327
: O6 D- G4 z4 u+ H/ |8 v11.4 小结/330
- W Z) R( G2 |# e# I% |' Q3 U( V: [: g. b
第二部分 PE进阶
9 r2 { e* H- R) l1 s* e5 J9 N
% a' h+ R2 L% d. c" \! z, f9 X第12章 PE变形技术/332
3 r6 C9 ^- _ _$ P6 ?
5 R( R/ F# P s3 A" i3 E12.1 变形技术的分类/332
8 e) M5 W; k" L; @, G12.1.1 结构重叠技术/332 7 u4 m: L+ V; e+ {6 E
12.1.2 空间调整技术/333
- g% M4 ` d2 f& Q3 z! x12.1.3 数据转移技术/334 : d; F) V2 ] @# U u
12.1.4 数据压缩技术/338
$ P( U. M& ^& I a8 W12.2 变形技术可用的空间/341
# u! H- K) Q- @9 ^9 m6 v* w' P9 L( ]" i12.2.1 文件头部未用的字段/341
3 Z7 |0 ^. e" M' N& g3 \: Y12.2.2 大小不固定的数据块/343
, @2 Y5 l, y: o: x12.2.3 因对齐产生的补足空间/344
$ ` h' }7 t# N7 W/ J4 [% F2 O12.3 PE文件变形原则/344
1 |6 A: ]. g8 H: L4 s) ]12.3.1 关于数据目录表/344
8 M/ D( p m# b+ n, r5 M) p% q12.3.2 关于节表/344
% N, v G) ~* Q- W5 q12.3.3 关于导入表/344
5 i v# [5 J" z' D# R6 w7 w12.3.4 关于程序数据/345 ' h! s% E% _& ^2 J# Q! N1 d
12.3.5 关于对齐/345 ) h; e, q% t3 I8 w/ o! k* ^
12.3.6 几个关注的字段/345 . n: z B: z% L, F0 V
12.4 将PE变小的实例HelloWorldPE /346 0 A( C- D2 k+ f6 u
12.4.1 源程序HelloWorld的字节码(2560字节) /346
( v5 n" o$ }5 W: E- s v' T: L12.4.2 目标PE文件的字节码(432字节)/348 , `' e, a0 X7 d2 L! Y
12.5 打造目标PE的步骤/349 ! m2 }8 i" s5 O @6 r
12.5.1 对文件头的处理/349
; N0 {2 H3 `* T/ B3 H+ i12.5.2 对代码段的处理/350
" x( I6 |( O8 @12.5.3 对导入表的处理/351 ' f5 ~- |" `! E; M9 n8 `! k, @
12.5.4 对部分字段值的修正/351 ) C# m; @5 p; H- D: p% \3 W
12.5.5 修改后的文件结构/352
8 V; P1 Q( c) }' u0 Z; W12.5.6 修改后的文件分析/353
7 m7 P+ u, N2 ?6 K12.5.7 目标文件更小的实例分析/354
' I' t% n3 O l; [12.6 小结/359 / Z8 l* O$ Q4 w
. J5 C* i( v! y7 o: D
第13章 PE补丁技术/360
' o% \9 W7 e* G) Z5 M$ |. [4 U% L, W, \7 l
13.1 动态补丁/360
5 _$ ~5 F1 w' ?! b# a13.1.1 进程间的通信机制/360
' {% a G. p$ e13.1.2 读写进程内存/363 : U. Z6 q9 i7 R
13.1.3 目标进程枚举/368
4 ? u- _+ d2 A! S# b7 v13.1.4 执行远程线程/373 0 p5 a8 e8 Q. C
13.2 静态补丁/379 4 k, Q0 V9 I" A6 s
13.2.1 整体替换PE文件/379 ) U' I! w! T. ^" `5 e4 l$ Q% Y0 k* S
13.2.2 整体替换DLL文件/385
* z' a( L' G$ R+ }6 j% c13.2.3 部分修改PE文件/387 ; `* a5 j! }/ J: F/ ~ Z: y$ O! B. k
13.3 嵌入补丁程序/388
3 o% u& }3 G0 Z; U13.3.1 嵌入补丁程序框架/388 M) Y; A6 Y/ |! c0 W! J
13.3.2 嵌入补丁程序编写规则/394
. N; k9 q' B% C# j3 t# C R13.3.3 嵌入补丁字节码实例分析/395
0 I o9 W l+ Q. M13.4 万能补丁码/396
* R. |, f6 M! y. N! x13.4.1 原理/396
8 [4 b# j; V* N d3 D1 K/ A8 u13.4.2 源代码/397 / j7 h$ q( r% |7 ~
13.4.3 字节码/399 & U! v7 O6 s; b' O e$ C
13.4.4 运行测试/399
& e4 {9 g; A6 ^9 a13.5 小结/399
+ S$ K; A7 v# f" T/ M) @/ S, ^9 ^$ f# ^5 o; d! z/ n/ H0 N, c
第14章 在PE空闲空间中插入程序/400
$ W! E6 O% |" f5 A' d% X t2 h" S# E( I
14.1 什么是 PE空闲空间/400 % m2 \, i( m: p
14.1.1 PE文件中的可用空间/400
% E& X2 A+ B: L5 @14.1.2 获取PE文件可用空间的代码/400
/ W. l- k) C. s# g2 H) H( r' ^14.1.3 获取PE文件可用空间的测试/403
; Z2 {% M3 ^$ S" R/ u14.2 添加注册表启动项的补丁程序实例 /403 # M/ s7 b. k/ K( n2 [3 \% G- [+ I) K
14.2.1 补丁程序的源代码/403 5 G; P. Z9 I( S- r& ` L
14.2.2 补丁程序的字节码/404
; k Y3 G# T! N& h7 v& V6 A# y14.2.3 目标PE的字节码/405
0 Z. x# x4 k% m2 T4 J14.3 手工打造目标PE的步骤/408 : x8 I; X7 T- J2 d+ e' j7 M
14.3.1 基本思路/408
; M8 {% ~+ S, m! \; [1 m) {8 o14.3.2 对代码段的处理/408 + g. }( ~1 y; k. m' Y# N
14.3.3 对导入表的处理/413
" i( @* _# x$ W3 O6 F14.3.4 对数据段的处理/418 1 d9 k' G2 d* s& N( R
14.3.5 修改前后PE文件对比/421 ' @0 {/ Z2 L" u" a4 _
14.4 开发补丁工具/422
- k7 U0 }! ?) Y! d14.4.1 编程思路/422 9 X# [' P1 B6 y, F5 {$ v$ d
14.4.2 数据结构分析/423 + h O1 g l1 ]
14.4.3 运行测试/427
7 [ J8 Z' u/ F14.4.4 适应性测试实例分析/430 / n- M" H! C/ r- q# P0 V2 v: L
14.5 小结/434
; Y4 q1 J$ [5 [8 b2 {$ S0 E
( D$ L* P# V3 d第15章 在PE间隙中插入程序/435
J- Z/ ]) D2 ^1 _5 ?2 u3 V1 ` b- ]- ?% U9 S- O
15.1 什么是PE间隙/435
1 J3 A; f7 B# L- I0 h15.1.1 构造间隙一/436 ! E+ q. u; y3 O$ z# p
15.1.2 间隙一与参数/436 ; w" @+ G$ h8 \# A/ @6 p" b1 u: T- N
15.2 插入HelloWorld的补丁程序实例/437
* Y( q" Q) Y6 g15.2.1 补丁程序字节码/437 % z" s- w: o; _1 P- X
15.2.2 目标PE结构/439 , _8 F' ]" q5 x
15.3 开发补丁工具/439
' O* c- Y+ W) D9 v. q5 X; X# E; [! v15.3.1 编程思路/439 0 J/ P6 [* u4 |) X/ E
15.3.2 数据结构分析/440
6 I# X7 e: Y; t" f! I15.3.3 主要代码/442 ! a1 z; o3 f# }; S5 k. {
15.3.4 运行测试/447 5 @4 W2 W& K, |+ F
15.4 存在绑定导入数据的PE补丁程序实例 /448
) Y1 g4 @, O( u( g" R5 J15.4.1 改进补丁程序/448
. @3 X9 z. w( [: y7 q3 i0 p: v ^" J15.4.2 修正补丁工具/450 : f) v3 W, Q" v, F* O$ ?
15.4.3 为记事本程序打补丁/456 7 G: g v$ d# a0 ]( K
15.5 小结/457
# l0 K. p/ T. v; `: ?* Y
( D2 o" t5 Y- d! u7 w第16章 在PE新增节中插入程序/458 . S; o, C' ` H q2 T# h
) ^6 J7 X! R. _, z
16.1 新增PE节的方法/458
3 z+ m1 y. e2 i% J16.2 在本地建立子目录的补丁程序实例 /458
- p$ w- }2 t% ?! {* P16.2.1 补丁程序源代码/459
" {- ~' D0 l- I" T; Q" e0 y16.2.2 目标PE结构 /464
, K- I' {/ s* H7 c* D, H' D16.3 开发补丁工具 /465
3 i" b8 q# S' j) e16.3.1 编程思路/465 % ^8 N4 |1 u8 V) W6 U6 `5 P
16.3.2 为变量赋值/466
& X6 c4 R+ w: C; {$ d0 E% O& b16.3.3 构造新文件数据/466 % D. }+ p$ q/ O
16.3.4 修正字段参数/466 " T/ `7 b3 P4 x" D
16.3.5 主要代码/467 ( b. a, n: T1 A6 N) ^
16.3.6 运行测试/475
Z; `9 ?! ^; d+ U7 {. @1 v2 a* u. j16.4 小结/475 6 V# b" F q2 o: |( b
' [6 v3 _+ R: M, M- p5 L: G第17章 在PE最后一节中插入程序/476
& x6 S9 Z5 a& g, \, C3 `
) h/ Z+ x" w# A17.1 网络文件下载器补丁程序实例/476
5 R3 j" R7 b7 h! T4 M/ `8 w17.1.1 用到的API函数/476 8 K; Q) O4 u: z9 f8 u6 x
17.1.2 补丁功能的预演代码/482 8 g o' d0 z+ h; E
17.1.3 补丁程序的源代码/484
" u, w3 x' f) S' L+ r17.1.4 目标PE结构/485 % K z: V. J+ s; ^
17.2 开发补丁工具/486
( x: S. e+ i1 Q$ X8 m17.2.1 编程思路/486
9 Q9 E+ X7 Q. {9 M# f8 j17.2.2 主要代码/487
' q2 b1 l& @6 s3 C. B+ d17.2.3 运行测试/490
# g ^( b& Z) z6 j17.3 小结/491
. W" Q, T! C9 | r e" ~9 _1 Q8 x* }9 M6 K- ]
第三部分 PE的应用案例 , u+ f: e, s: @
: i% g1 j' {! I+ W
第18章 EXE捆绑器/494
: v: M1 C* q' o4 E v+ \- e9 e: O& C( k d% @/ B
18.1 基本思路 /494 7 u ?) y. k, ]+ C. z# j+ d
18.2 EXE执行调度机制 /495
. @# w: c' s+ S18.2.1 相关API函数/495
& k+ t! B- m- B: a1 w6 [18.2.2 控制进程同步运行实例分析/499
3 t9 |1 d( E" a' _$ l0 A+ d1 k18.3 字节码转换工具hex2db /500 2 U& K( ?$ M' \+ m5 z" @' {
18.3.1 hex2db源代码/500 0 }) o( r" v) n4 f. W+ r
18.3.2 运行测试/507 2 {$ c+ X) W: W
18.4 执行调度程序_host.exe /508 0 ~ f" T- h1 [- Q) Z! u& A
18.4.1 主要代码/508
* }1 G* V, a" o9 |% g18.4.2 数据结构分析/510
/ _7 v0 l4 G. U4 I; e18.5 宿主程序host.exe /511
0 V+ o* `) q: e$ U. w18.5.1 宿主程序的功能/511
3 ^* W8 J# w6 F/ t# j7 o! p18.5.2 宿主程序的状态/511 * k \/ ^% w6 a/ ?' t5 O
18.5.3 遍历文件/512 2 d6 @, e. R, ~( y! @/ C
18.5.4 释放文件/514 ' u/ J ]) ~) K' `
18.5.5 宿主程序主函数/517
0 i( E% w( o. [0 Z) }+ p4 D! {18.6 EXE捆绑器bind.exe /517 7 a9 O( z7 y0 s+ m' X3 ~! q
18.6.1 绑定列表定位/517
2 N4 a1 U6 }+ k5 I1 X7 k7 t18.6.2 捆绑步骤及主要代码/518
2 d$ w6 L& }/ t' w$ n8 A18.6.3 测试运行/523 , W$ _7 ]: h- Y8 P; \
18.7 小结/524 . k! j/ C* ], u9 c7 c) b1 |! d# j
5 T) P. G: K0 D- e+ O! g( ~第19章 软件安装自动化/525 . [8 f; F9 I7 J9 N
7 h, u0 }7 {/ s- K* Q
19.1 基本思路/525
# o1 X3 J8 z& t19.2 补丁程序patch.exe /525
' _0 Q6 I v0 H- R3 C Z9 C19.2.1 相关API函数/526 5 T7 g% M) ^# }% d$ Q
19.2.2 执行线程函数/526 # x- S& P- ?: D
19.2.3 简单测试/528
: G- B$ J+ j$ l/ H8 M19.3 消息发送器_Message.exe /529
: w; J% R# U! V19.3.1 窗口枚举回调函数/529 1 K0 y( b+ V8 l
19.3.2 调用窗口枚举函数/530
: T- N' h v+ z19.3.3 向指定窗口发送消息/531 % L$ X* x& O3 g. \( m% L0 M
19.3.4 消息发送器源代码/532 + F6 D( G. S& M; l2 h% M% F
19.3.5 测试运行/535 ! m: g8 u6 @7 p7 A2 l
19.4 消息发送器生成工厂MessageFactory.exe /535 $ q+ u( U( E3 l# Y+ Z/ f! X* E/ q" w2 C
19.4.1 消息发送函数/535
$ y4 D1 h- z# R& v- c1 r' q19.4.2 键盘虚拟码/537 # E' S+ F @; A) c
19.4.3 改进的消息发送器实例分析/540
2 e; Q5 \0 C0 D3 ]19.4.4 消息发送器生成工厂代码结构/542 5 p* N% Q3 U3 T( M; {1 r
19.4.5 代码与数据的定位/544
# u3 {. ]8 W( T& X; B19.4.6 提取代码字节码/545 + P. j, I" a6 v- Z/ q7 X$ q
19.5 软件安装自动化主程序AutoSetup.exe /548 & V3 B2 i2 a. W3 j# E% n' }
19.5.1 主要代码/548
7 k$ Y" t- E: x8 q3 A19.5.2 测试运行/552 ) d4 u7 C! n9 P1 v
19.6 小结/554 , h: J- R, i6 Y
) q/ {) J9 N4 V9 i. v4 R d( I# h
第20章 EXE加锁器/555 3 a7 y: z1 R; p, j/ ]) V
$ X) U5 k# i: \4 D8 M* N5 j
20.1 基本思路/555
$ N1 j8 Y0 l' ~20.2 免资源文件的窗口程序nores.asm /556 - z8 k' g) z) ]( g& I% c1 B2 }
20.2.1 窗口创建函数CreateWindowEx /556 9 }2 F! Y" w7 Z' B: o% Y5 M" r/ Z
20.2.2 创建用户登录窗口的控件/558
3 O) j- U. f. ]. c! r: C20.2.3 窗口程序源代码 /558 8 b) f1 J- ]) }9 {9 F; U
20.3 免重定位的窗口程序login.asm /562
1 m: C; n2 X9 x0 u& f7 T20.4 补丁程序patch.asm /570 0 J E+ R H. L6 d& @, ?: Z* [
20.4.1 获取导入库及函数/570 / _2 r- c' G( M0 y5 ]4 [9 [
20.4.2 按照补丁框架修改login.asm /571 4 r+ t& d8 j% P$ u% t. v
20.4.3 补丁程序主要代码/572 . T# j$ t ~! |- U& {1 b
20.5 附加补丁运行/573
5 X; M1 ~% u O20.6 小结/575
6 ~( G, k, u$ m1 o! j0 n; n3 U. ~ A+ }% l% |
第21章 EXE加密/576 }' X0 c/ c7 ^; @
# w" y; v% U2 z% H
21.1 基本思路/576
0 V0 [# B( p' Q. I# W6 v21.2 加密算法/577 4 s7 l! k" ]! Z
21.2.1 加密算法的分类/577
. R% v# o+ O* _4 I2 b1 I) N* k* X8 V21.2.2 自定义可逆加密算法实例/578
) C( I7 p) s6 J21.2.3 构造加密基表/579 ) w7 m% U: s5 u. a2 w6 x4 n# J
21.2.4 利用基表测试加密数据/581 " O# q; e. |( B2 V7 v2 R
21.3 开发补丁工具/582
N3 A6 L* e4 F \21.3.1 转移数据目录/582
) S- E1 k2 t) g5 F21.3.2 传递程序参数/585
9 E2 ?% v5 Y+ _* `6 i6 S8 C Q21.3.3 加密节区内容/587
4 L$ ~- w4 `% d+ N, w4 f21.4 处理补丁程序/588 , R1 @4 X) v0 h$ Z
21.4.1 还原数据目录表/588
) _; M. ]. m( Q/ }3 L21.4.2 解密节区内容/590
- V, ?4 R. k& ]) @. l4 x% l( O# R21.4.3 加载目标DLL /592
* n2 Z2 {+ p+ Q' H8 W21.4.4 修正目标IAT /594 $ `% g& A( p% |* Q8 R8 d
21.5 小结/595 : V6 T9 J7 T/ A# I- } \6 _
' z- c( Q5 z( @# s9 N2 @第22章 PE病毒提示器/596 ) _9 F# p6 j4 s- ]) l% ~: q
! Q: W4 F, y9 @4 Q4 r+ z0 f, }; J
22.1 基本思路 /596
* |$ n# `6 T3 p% D/ I. G22.1.1 志愿者的选择条件/596 6 |3 q6 l. g& n+ I1 T
22.1.2 判断病毒感染的原理/597
- ?, [9 ]+ x2 X, k5 w% @3 U% w22.2 手工打造PE病毒提示器 /597 5 \* G1 i, U; a! o/ t, E9 |! B, O! t
22.2.1 编程思路 /597
' Q1 c" y+ S0 m& r/ }; d22.2.2 分析目标文件的导入表 /598
" R/ d- N0 B- x1 D22.2.3 补丁程序的源代码/601 7 i. L" S d* G
22.2.4 补丁程序的字节码/608
4 K& a. g$ h; c7 ?3 [: b22.2.5 修正函数地址/609
2 `% Y9 S( Q0 V' f+ \) j22.2.6 测试运行/610 ! @9 Z K! s7 O6 e4 n3 _9 w
22.3 补丁版的PE病毒提示器/611
' F4 K1 a7 c y1 S2 ?, r22.3.1 将提示器写入启动项/611 0 G1 \# g$ |1 ?. K
22.3.2 检测特定位置校验和/612
J2 p8 Z4 N& M/ t) o4 U22.3.3 测试运行/615
6 D. ?4 \& W8 [1 x! ~22.4 小结/617 $ C5 A: }% R: b' d
: U1 A$ T, [) k8 B. F
第23章 破解PE病毒/618 0 N1 w% h% P1 @. i2 {
. b% `7 t. c. }9 X# Y23.1 病毒保护技术/618 ! I6 ]/ ?1 \5 R9 L
23.1.1 花指令/619 3 W8 z/ w6 \, D" O& o
23.1.2 反跟踪技术/620
+ m D2 g; ] n" D' ~23.1.3 反调试技术/621
! e T6 i4 x% ]7 ]" {3 C( X2 ?23.1.4 自修改技术/624
) d: @) x, i# ^3 l& ~23.1.5 注册表项保护技术/625 % U: h- g7 B. R- t! A4 n
23.1.6 进程保护技术/627
4 J2 P! r1 D, g( l- [& [( ]% x23.2 PE病毒补丁程序解析/632 ( s* J0 W4 D) N2 ]2 u( M1 A
23.2.1 病毒特征/633 5 g' S, [9 W0 q- {5 v( a# b
23.2.2 补丁程序的源代码分析/633
) T3 Q8 @6 E6 W/ t! c+ @7 e23.2.3 病毒传播测试/648 $ x+ I9 M7 l8 a, |$ t% k
23.2.4 感染前后PE结构对比/650
4 t9 s1 y4 {) I" k' L23.3 解毒代码的编写/650
) Y3 J" X6 n$ c23.3.1 基本思路/651
2 ^% W' A0 U0 ~; g8 C1 Y. w( c4 p23.3.2 计算病毒代码大小/651 2 D6 h4 L# `* k+ N+ {
23.3.3 获取原始入口地址/652
8 S+ E; {$ ]- ?2 u# C23.3.4 修正PE头部的其他参数/652 * f i- X4 S! P: j" e
23.3.5 主要代码/653
2 t9 h* F, Y( L+ R. ?3 i23.3.6 运行测试 /656
( E' ~: C5 K x5 {23.4 小结/657 " a$ ?# H! ]3 m" A( B+ ]! R
) m$ b% N, y4 W3 ^2 M/ s* }后记/658 9 i. f F# Y& ?) {9 I. g
6 f5 F, K8 ~5 n( p( B* V2 X5 S2 c
( b# [4 J- Y2 ~% a! K |
|
( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)
狗仔卡
发表于 2016-11-19 16:53:01
置顶卡
千斤顶
显身卡
发表于 2017-7-13 07:32:33
发表于 2019-3-12 09:35:49
了