逆向工程核心原理

《逆向工程核心原理》十分详尽地介绍了代码逆向分析的核心原理。作者在Ahnlab 研究所工作多年，书中不仅包括其以此经验为基础亲自编写的大量代码，还包含了逆向工程研究人员必须了解的各种技术和技巧。彻底理解并切实掌握逆向工程这门技术，就能在众多IT相关领域进行拓展运用，这本《逆向工程核心原理》就是通向逆向工程大门的捷径。
想成为逆向工程研究员的读者或正在从事逆向开发工作的开发人员一定会通过《逆向工程核心原理》获得很大帮助。同时，想成为安全领域专家的人也可从《逆向工程核心原理》轻松起步。

李承远
在AhnLab从事恶意代码分析工作，一直维护着一个逆向分析技术专业学习博客。从接触逆向分析技术开始就为其迷人魅力深深吸引，对逆向分析技术的传播及多领域应用非常关注，喜欢读书、发呆，也向往新的挑战。
www.reversecore.com
reversecore@gmail.com

武传海
擅韩语，喜计算机，有多年翻译经验，内容涉及多个领域，尤其擅长翻译各类计算机图书，已出版多部韩语译著。
QQ：768160125
jeonhae@126.com

第一部分代码逆向技术基础
第1章关于逆向工程2
1．1逆向工程2
1．2代码逆向工程2
1．2．1逆向分析法2
1．2．2源代码、十六进制代码、汇编代码4
1．2．3 “打补丁”与“破解”5
1．3代码逆向准备5
1．3．1目标5
1．3．2激情6
1．3．3谷歌6
1．4学习逆向分析技术的禁忌6
1．4．1贪心6
1．4．2急躁7
1．5逆向分析技术的乐趣7

第2章逆向分析Hello World!程序8
2．1Hello World!程序8
2．2调试HelloWorld．exe程序9
2．2．1调试目标9
2．2．2开始调试9
2．2．3入口点10
2．2．4跟踪40270C函数10
2．2．5跟踪40104F跳转语句12
2．2．6查找main()函数12
2．3进一步熟悉调试器14
2．3．1调试器指令14
2．3．2 “大本营”15
2．3．3设置“大本营”的四种方法15
2．4快速查找指定代码的四种方法17
2．4．1代码执行法18
2．4．2字符串检索法19
2．4．3API检索法(1)：在调用代码中设置断点20
2．4．4API检索法(2)：在API代码中设置断点21
2．5使用“打补丁”方式修改“Hello World!”字符串23
2．5．1 “打补丁”23
2．5．2修改字符串的两种方法24
2．6小结28

第3章小端序标记法31
3．1字节序31
3．1．1大端序与小端序32
3．1．2在OllyDbg中查看小端序32

第4章IA-32寄存器基本讲解34
4．1什么是CPU寄存器34
4．2IA-32寄存器34
4．3小结40

第5章栈41
5．1栈41
5．1．1栈的特征41
5．1．2栈操作示例41

第6章分析abex’ crackme#144
6．1abex’ crackme #144
6．1．1开始调试45
6．1．2分析代码45
6．2破解47
6．3将参数压入栈47
6．4小结48

第7章栈帧49
7．1栈帧49
7．2调试示例：stackframe．exe49
7．2．1StackFrame．cpp50
7．2．2开始执行main()函数&生成栈帧51
7．2．3设置局部变量52
7．2．4add()函数参数传递与调用53
7．2．5开始执行add()函数&生成栈帧54
7．2．6设置add()函数的局部变量(x， y)55
7．2．7ADD运算55
7．2．8删除函数add()的栈帧&函数执行完毕(返回)56
7．2．9从栈中删除函数add()的参数(整理栈)57
7．2．10调用printf()函数58
7．2．11设置返回值58
7．2．12删除栈帧&main()函数终止58
7．3设置OllyDbg选项59
7．3．1Disasm选项59
7．3．2Analysis1选项60
7．4小结61

第8章abex’ crackme #262
8．1运行abex’ crackme #262
8．2Visual Basic文件的特征63
8．2．1VB专用引擎63
8．2．2本地代码和伪代码63
8．2．3事件处理程序63
8．2．4未文档化的结构体63
8．3开始调试63
8．3．1间接调用64
8．3．2RT_MainStruct结构体64
8．3．3ThunRTMain()函数65
8．4分析crackme65
8．4．1检索字符串65
8．4．2查找字符串地址66
8．4．3生成Serial的算法68
8．4．4预测代码69
8．4．5读取Name字符串的代码69
8．4．6加密循环70
8．4．7加密方法70
8．5小结72

第9章Process Explorer——最优秀的进程管理工具74
9．1Process Explorer74
9．2具体有哪些优点呢75
9．3sysinternals75

第10章函数调用约定76
10．1函数调用约定76
10．1．1cdecl76
10．1．2stdcall77
10．1．3fastcall78

第11章视频讲座79
11．1运行79
11．2分析79
11．2．1目标(1)：去除消息框79
11．2．2打补丁(1)：去除消息框81
11．2．3目标(2)：查找注册码83
11．3小结85

第12章究竟应当如何学习代码逆向分析86
12．1逆向工程86
12．1．1任何学习都应当有目标86
12．1．2拥有积极心态86
12．1．3要感受其中的乐趣86
12．1．4让检索成为日常生活的一部分87
12．1．5最重要的是实践87
12．1．6请保持平和的心态87

第二部分PE文件格式
第13章PE文件格式90
13．1介绍90
13．2PE文件格式90
13．2．1基本结构91
13．2．2VA&RVA92
13．3PE头92
13．3．1DOS头93
13．3．2DOS存根94
13．3．3NT头94
13．3．4NT头：文件头95
13．3．5NT头：可选头97
13．3．6节区头101
13．4RVA to RAW104
13．5IAT105
13．5．1DLL105
13．5．2IMAGE_IMPORT_DESCRIPTOR107
13．5．3使用notepad．exe练习108
13．6EAT112
13．6．1IMAGE_EXPORT_DIRECTORY113
13．6．2使用kernel32．dll练习114
13．7高级PE116
13．7．1PEView．exe116
13．7．2Patched PE117
13．8小结118

第14章运行时压缩121
14．1数据压缩121
14．1．1无损压缩121
14．1．2有损压缩121
14．2运行时压缩器122
14．2．1压缩器122
14．2．2保护器123
14．3运行时压缩测试123

第15章调试UPX压缩的notepad程序127
15．1notepad．exe的EP代码127
15．2notepad_upx．exe的EP代码127
15．3跟踪UPX文件129
15．3．1OllyDbg的跟踪命令129
15．3．2循环 #1129
15．3．3循环 #2130
15．3．4循环 #3131
15．3．5循环 #4131
15．4快速查找UPX OEP的方法132
15．4．1在POPAD指令后的JMP指令处设置断点132
15．4．2在栈中设置硬件断点133
15．5小结133

第16章基址重定位表135
16．1PE重定位135
16．1．1DLL/SYS135
16．1．2EXE136
16．2PE重定位时执行的操作136
16．3PE重定位操作原理138
16．3．1基址重定位表138
16．3．2IMAGE_BASE_RELOCATION结构体139
16．3．3基址重定位表的分析方法139
16．3．4练习141

第17章从可执行文件中删除．reloc节区142
17．1．reloc节区142
17．2reloc．exe142
17．2．1删除．reloc节区头142
17．2．2删除．reloc节区143
17．2．3修改IMAGE_FILE_HEADER143
17．2．4修改IMAGE_OPTIONAL_HEADER144
17．3小结145

第18章UPack PE文件头详细分析146
18．1UPack说明146
18．2使用UPack压缩notepad．exe146
18．3使用Stud_PE工具148
18．4比较PE文件头148
18．4．1原notepad．exe的PE文件头149
18．4．2notepad_upack．exe运行时压缩的PE文件头149
18．5分析UPack的PE文件头150
18．5．1重叠文件头150
18．5．2IMAGE_FILE_HEADER．SizeOfOptionalHeader150
18．5．3IMAGE_OPTIONAL_HEADER．NumberOf-RvaAndSizes152
18．5．4IMAGE_SECTION_HEADER153
18．5．5重叠节区155
18．5．6RVA to RAW156
18．5．7导入表(IMAGE_IMPORT_DESCRIPTOR array)158
18．5．8导入地址表160
18．6小结161

第19章UPack调试? 查找OEP162
19．1OllyDbg运行错误162
19．2解码循环163
19．3设置IAT165
19．4小结166

第20章“内嵌补丁”练习167
20．1内嵌补丁167
20．2练习：Patchme168
20．3调试：查看代码流168
20．4代码结构172
20．5 “内嵌补丁”练习173
20．5．1补丁代码要设置在何处呢173
20．5．2制作补丁代码175
20．5．3执行补丁代码176
20．5．4结果确认177

第三部分DLL注入
第21章Windows消息钩取180
21．1钩子180
21．2消息钩子180
21．3SetWindowsHookEx()181
21．4键盘消息钩取练习182
21．4．1练习示例HookMain．exe182
21．4．2分析源代码185
21．5调试练习187
21．5．1调试HookMain．exe188
21．5．2调试Notepad．exe进程内的KeyHook．dll190
21．6小结192

第22章恶意键盘记录器194
22．1恶意键盘记录器的目标194
22．1．1在线游戏194
22．1．2网上银行194
22．1．3商业机密泄露194
22．2键盘记录器的种类与发展趋势195
22．3防范恶意键盘记录器195
22．4个人信息195

第23章DLL注入197
23．1DLL注入197
23．2DLL注入示例198
23．2．1改善功能与修复Bug198
23．2．2消息钩取198
23．2．3API钩取198
23．2．4其他应用程序199
23．2．5恶意代码199
23．3DLL注入的实现方法199
23．4CreateRemoteThread()199
23．4．1练习示例myhack．dll199
23．4．2分析示例源代码203
23．4．3调试方法208
23．5AppInit_DLLs210
23．5．1分析示例源码211
23．5．2练习示例myhack2．dll212
23．6SetWindowsHookEx()214
23．7小结214

第24章DLL卸载216
24．1DLL卸载的工作原理216
24．2实现DLL卸载216
24．2．1获取进程中加载的DLL信息219
24．2．2获取目标进程的句柄220
24．2．3获取FreeLibrary() API地址220
24．2．4在目标进程中运行线程220
24．3DLL卸载练习220
24．3．1复制文件及运行notepad．exe220
24．3．2注入myhack．dll221
24．3．3卸载myhack．dll222

第25章通过修改PE加载DLL224
25．1练习文件224
25．1．1TextView．exe224
25．1．2TextView_patched．exe225
25．2源代码 - myhack3．cpp227
25．2．1DllMain()227
25．2．2DownloadURL()228
25．2．3DropFile()229
25．2．4dummy()230
25．3修改TextView．exe文件的准备工作231
25．3．1修改思路231
25．3．2查看IDT是否有足够空间231
25．3．3移动IDT233
25．4修改TextView．exe235
25．4．1修改导入表的RVA值235
25．4．2删除绑定导入表235
25．4．3创建新IDT235
25．4．4设置Name、INT、IAT236
25．4．5修改IAT节区的属性值238
25．5检测验证240
25．6小结241

第26章PE Tools242
26．1PE Tools242
26．1．1进程内存转储243
26．1．2PE编辑器245
26．2小结245

第27章代码注入247
27．1代码注入247
27．2DLL注入与代码注入247
27．3练习示例249
27．3．1运行notepad．exe249
27．3．2运行CodeInjection．exe249
27．3．3弹出消息框250
27．4CodeInjection．cpp250
27．4．1main()函数251
27．4．2ThreadProc()函数251
27．4．3InjectCode()函数254
27．5代码注入调试练习256
27．5．1调试notepad．exe256
27．5．2设置OllyDbg选项256
27．5．3运行CodeInjection．exe257
27．5．4线程开始代码258
27．6小结259

第28章使用汇编语言编写注入代码260
28．1目标260
28．2汇编编程260
28．3OllyDbg的汇编命令260
28．3．1编写ThreadProc()函数262
28．3．2保存文件265
28．4编写代码注入程序266
28．4．1获取ThreadProc()函数的二进制代码266
28．4．2CodeInjection2．cpp267
28．5调试练习270
28．5．1调试notepad．exe270
28．5．2设置OllyDbg选项270
28．5．3运行CodeInjection2．exe271
28．5．4线程起始代码272
28．6详细分析272
28．6．1生成栈帧272
28．6．2THREAD_PARAM结构体指针273
28．6．3 “User32．dll”字符串274
28．6．4压入“user32．dll”字符串参数274
28．6．5调用LoadLibraryA(“user32．dll”)275
28．6．6 “MessageBoxA”字符串276
28．6．7调用GetProcAddress(hMod，“MessageBoxA”)276
28．6．8压入MessageBoxA()函数的参数 1 -MB_OK277
28．6．9压入MessageBoxA()函数的参数 2 -“ReverseCore”277
28．6．10压入MessageBoxA()函数的参数 3 -“www．reversecore．com”278
28．6．11压入MessageBoxA()函数的参数 4 -NULL279
28．6．12调用MessageBoxA()279
28．6．13设置ThreadProc()函数的返回值280
28．6．14删除栈帧及函数返回280
28．7小结280

第四部分API钩取
第29章API钩取：逆向分析之“花”282
29．1钩取282
29．2API是什么282
29．3API钩取283
29．3．1正常调用API283
29．3．2钩取API调用284
29．4技术图表284
29．4．1方法对象(是什么)285
29．4．2位置(何处)285
29．4．3技术(如何)286
29．4．4API286

第30章记事本WriteFile() API钩取288
30．1技术图表—调试技术288
30．2关于调试器的说明289
30．2．1术语289
30．2．2调试器功能289
30．2．3调试器的工作原理289
30．2．4调试事件289
30．3调试技术流程290
30．4练习291
30．5工作原理293
30．5．1栈293
30．5．2执行流295
30．5．3 “脱钩”&“钩子”295
30．6源代码分析295
30．6．1main()296
30．6．2DebugLoop()296
30．6．3EXIT_PROCESS_DEBUG_EVENT298
30．6．4CREATE_PROCESS_DEBUG_EVENT-OnCreateProcess-DebugEvent()298
30．6．5EXCEPTION_DEBUG_EVENT-OnException-DebugEvent()300

第31章关于调试器305
31．1OllyDbg305
31．2IDA Pro305
31．3WinDbg306

第32章计算器显示中文数字308
32．1技术图表308
32．2选定目标API309
32．3IAT钩取工作原理312
32．4练习示例314
32．5源代码分析316
32．5．1DllMain()316
32．5．2MySetWindowTextW()317
32．5．3hook_iat()319
32．6调试被注入的DLL文件322
32．6．1DllMain()325
32．6．2hook_iat()325
32．6．3MySetWindowTextW()327
32．7小结328

第33章隐藏进程329
33．1技术图表329
33．2API代码修改技术的原理329
33．2．1钩取之前330
33．2．2钩取之后330
33．3进程隐藏332
33．3．1进程隐藏工作原理332
33．3．2相关API332
33．3．3隐藏技术的问题333
33．4练习 #1(HideProc．exe，stealth．dll)333
33．4．1运行notepad．exe、procexp．exe、taskmgr．exe334
33．4．2运行HideProc．exe334
33．4．3确认stealth．dll注入成功334
33．4．4查看notepad．exe进程是否隐藏成功335
33．4．5取消notepad．exe进程隐藏336
33．5源代码分析336
33．5．1HideProc．cpp336
33．5．2stealth．cpp338
33．6全局API钩取344
33．6．1Kernel32．CreateProcess() API344
33．6．2Ntdll．ZwResumeThread() API345
33．7练习#2(HideProc2．exe，Stealth2．dll)345
33．7．1复制stealth2．dll文件到%SYSTEM%文件夹中345
33．7．2运行HideProc2．exe -hide346
33．7．3运行ProcExp．exe¬epad．exe346
33．7．4运行HideProc2．exe -show347
33．8源代码分析348
33．8．1HideProc2．cpp348
33．8．2stealth2．cpp348
33．9利用“热补丁”技术钩取API350
33．9．1API代码修改技术的问题350
33．9．2 “热补丁”(修改7个字节代码)350
33．10练习 #3：stealth3．dll353
33．11源代码分析353
33．12使用“热补丁”API钩取技术时需要考虑的问题356
33．13小结357

第34章高级全局API钩取：IE连接控制359
34．1目标API359
34．2IE进程结构361
34．3关于全局API钩取的概念362
34．3．1常规API钩取363
34．3．2全局API钩取363
34．4ntdll!ZwResumeThread() API364
34．5练习示例：控制IE网络连接368
34．5．1运行IE368
34．5．2注入DLL369
34．5．3创建新选项卡369
34．5．4尝试连接网站370
34．5．5卸载DLL371
34．5．6课外练习372
34．6示例源代码372
34．6．1DllMain()372
34．6．2NewInternetConnectW()373
34．6．3NewZwResumeThread()374
34．7小结375

第35章优秀分析工具的五种标准376
35．1工具376
35．2代码逆向分析工程师376
35．3优秀分析工具的五种标准376
35．3．1精简工具数量377
35．3．2工具功能简单、使用方便377
35．3．3完全掌握各种功能377
35．3．4不断升级更新377
35．3．5理解工具的核心工作原理377
35．4熟练程度的重要性377

第五部分64位&Windows内核6
第36章64位计算380
36．164位计算环境380
36．1．164位CPU380
36．1．264位OS381
36．1．3Win32 API381
36．1．4WOW64381
36．1．5练习：WOW64Test384
36．2编译64位文件385
36．2．1Microsoft Windows SDK(Software Development Kit)386
36．2．2设置Visual C++ 2010 Express环境386

第37章x64处理器389
37．1x64中新增或变更的项目389
37．1．164位389
37．1．2内存389
37．1．3通用寄存器389
37．1．4CALL/JMP指令390
37．1．5函数调用约定391
37．1．6栈 & 栈帧392
37．2练习：Stack32．exe & Stack64．exe392
37．2．1Stack32．exe392
37．2．2Stack64．exe394
37．3小结397

第38章PE32+398
38．1PE32+(PE+、PE64)398
38．1．1IMAGE_NT_HEADERS398
38．1．2IMAGE_FILE_HEADER398
38．1．3IMAGE_OPTIONAL_HEADER399
38．1．4IMAGE_THUNK_DATA401
38．1．5IMAGE_TLS_DIRECTORY403

第39章WinDbg405
39．1WinDbg405
39．1．1WinDbg的特征405
39．1．2运行WinDbg406
39．1．3内核调试407
39．1．4WinDbg基本指令409

第40章64位调试411
40．1x64环境下的调试器411
40．264位调试411
40．3PE32：WOW64Test_x86．exe413
40．3．1EP代码414
40．3．2Startup代码414
40．3．3main()函数415
40．4PE32+：WOW64Test_x64．exe416
40．4．1系统断点416
40．4．2EP代码417
40．4．3Startup代码418
40．4．4main()函数420
40．5小结423

第41章ASLR424
41．1Windows内核版本424
41．2ASLR424
41．3Visual C++424
41．4ASLR．exe425
41．4．1节区信息426
41．4．2IMAGE_FILE_HEADER\Characteristics427
41．4．3IMAGE_OPTIONAL_HEADER\DLL Characteristics428
41．5练习：删除ASLR功能428

第42章内核6中的会话430
42．1会话430
42．2会话0隔离机制432
42．3增强安全性432

第43章内核6中的DLL注入433
43．1再现DLL注入失败433
43．1．1源代码433
43．1．2注入测试435
43．2原因分析436
43．2．1调试 #1436
43．2．2调试 #2438
43．3练习：使CreateRemoteThread()正常工作440
43．3．1方法 #1：修改CreateSuspended参数值440
43．3．2方法 #2：操纵条件分支441
43．4稍作整理443
43．5InjectDll_new．exe443
43．5．1InjectDll_new．cpp443
43．5．2注入练习446

第44章InjDll．exe：DLL注入专用工具448
44．1InjDll．exe448
44．1．1使用方法448
44．1．2使用示例449
44．1．3注意事项450

第六部分高级逆向分析技术
第45章TLS回调函数452
45．1练习 #1：HelloTls．exe452
45．2TLS453
45．2．1IMAGE_DATA_DIRECTORY[9]453
45．2．2IMAGE_TLS_DIRECTORY454
45．2．3回调函数地址数组454
45．3TLS回调函数455
45．4练习 #2：TlsTest．exe456
45．4．1DLL_PROCESS_ATTACH457
45．4．2DLL_THREAD_ATTACH457
45．4．3DLL_THREAD_DETACH457
45．4．4DLL_PROCESS_DETACH457
45．5调试TLS回调函数458
45．6手工添加TLS回调函数459
45．6．1修改前的原程序460
45．6．2设计规划460
45．6．3编辑PE文件头461
45．6．4设置IMAGE_TLS_DIRECTORY结构体463
45．6．5编写TLS回调函数464
45．6．6最终完成464
45．7小结465

第46章TEB466
46．1TEB466
46．1．1TEB结构体的定义466
46．1．2TEB结构体成员466
46．1．3重要成员469
46．2TEB访问方法470
46．2．1Ntdll．NtCurrentTeb()470
46．2．2FS段寄存器471
46．3小结472

第47章PEB473
47．1PEB473
47．1．1PEB访问方法473
47．1．2PEB结构体的定义474
47．1．3PEB结构体的成员475
47．2PEB的重要成员477
47．2．1PEB．BeingDebugged478
47．2．2PEB．ImageBaseAddress478
47．2．3PEB．Ldr479
47．2．4PEB．ProcessHeap & PEB．NtGlobalFlag480
47．3小结480

第48章SEH481
48．1SEH481
48．2SEH练习示例 #1481
48．2．1正常运行481
48．2．2调试运行482
48．3OS的异常处理方法484
48．3．1正常运行时的异常处理方法484
48．3．2调试运行时的异常处理方法484
48．4异常485
48．4．1EXCEPTION_ACCESS_VIOLATION(C0000005)486
48．4．2EXCEPTION_BREAKPOINT(80000003)486
48．4．3EXCEPTION_ILLEGAL_INSTRUCTION(C000001D)488
48．4．4EXCEPTION_INT_DIVIDE_BY_ZERO(C0000094)488
48．4．5EXCEPTION_SINGLE_STEP(80000004)489
48．5SEH详细说明489
48．5．1SEH链489
48．5．2异常处理函数的定义489
48．5．3TEB．NtTib．ExceptionList491
48．5．4SEH安装方法492
48．6SEH练习示例 #2(seh．exe)492
48．6．1查看SEH链493
48．6．2添加SEH493
48．6．3发生异常494
48．6．4查看异常处理器参数494
48．6．5调试异常处理器496
48．6．6删除SEH498
48．7设置OllyDbg选项499
48．7．1忽略KERNEL32中发生的内存非法访问异常500
48．7．2向被调试者派送异常500
48．7．3其他异常处理500
48．7．4简单练习500
48．8小结501

第49章IA-32指令502
49．1IA-32指令502
49．2常用术语502
49．2．1反汇编器503
49．2．2反编译器504
49．2．3反编译简介504
49．3IA-32指令格式506
49．3．1指令前缀507
49．3．2操作码507
49．3．3ModR/M507
49．3．4SIB508
49．3．5位移508
49．3．6立即数509
49．4指令解析手册509
49．4．1下载IA-32用户手册509
49．4．2打印指令解析手册509
49．5指令解析练习510
49．5．1操作码映射510
49．5．2操作数511
49．5．3ModR/M512
49．5．4Group514
49．5．5前缀516
49．5．6双字节操作码518
49．5．7移位值&立即数519
49．5．8SIB520
49．6指令解析课外练习524
49．7小结524

第七部分反调试技术
第50章反调试技术526
50．1反调试技术526
50．1．1依赖性526
50．1．2多种反调试技术526
50．2反调试破解技术526
50．3反调试技术的分类527
50．3．1静态反调试技术528
50．3．2动态反调试技术528

第51章静态反调试技术529
51．1静态反调试的目的529
51．2PEB529
51．2．1BeingDebugged(+0x2)531
51．2．2Ldr(+0xC)531
51．2．3Process Heap(+0x18)532
51．2．4NtGlobalFlag(+0x68)533
51．2．5练习：?StaAD_PEB．exe534
51．2．6破解之法534
51．3NtQueryInformationProcess()537
51．3．1ProcessDebugPort(0x7)538
51．3．2ProcessDebugObjectHandle(0x1E)539
51．3．3ProcessDebugFlags(0x1F)539
51．3．4练习：StaAD_NtQIP．exe540
51．3．5破解之法540
51．4NtQuerySystemInformation()542
51．4．1SystemKernelDebugger-Information(0x23)544
51．4．2练习：StaAD_NtQSI．exe545
51．4．3破解之法545
51．5NtQueryObject()545
51．6ZwSetInformationThread()549
51．6．1练习：StaAD_ZwSIT．exe549
51．6．2破解之法550
51．7TLS回调函数550
51．8ETC551
51．8．1练习：StaAD_FindWindow．exe551
51．8．2破解之法551
51．9小结553

第52章动态反调试技术554
52．1动态反调试技术的目的554
52．2异常554
52．2．1SEH554
52．2．2SetUnhandledException-Filter()558
52．3Timing Check562
52．3．1时间间隔测量法562
52．3．2RDTSC563
52．4陷阱标志565
52．4．1单步执行566
52．4．2INT 2D569
52．50xCC探测572
52．5．1API断点573
52．5．2比较校验和575

第53章高级反调试技术577
53．1高级反调试技术577
53．2垃圾代码577
53．3扰乱代码对齐578
53．4加密/解密581
53．4．1简单的解码示例581
53．4．2复杂的解码示例582
53．4．3特殊情况：代码重组584
53．5Stolen Bytes(Remove OEP)584
53．6API重定向587
53．6．1原代码588
53．6．2API重定向示例 #1588
53．6．3API重定向示例#2589
53．7Debug Blocker(Self Debugging)593
53．8小结595

第八部分调试练习
第54章调试练习1：服务598
54．1服务进程的工作原理598
54．1．1服务控制器598
54．1．2服务启动过程599
54．2DebugMe1．exe示例讲解600
54．2．1安装服务600
54．2．2启动服务602
54．2．3源代码604
54．3服务进程的调试606
54．3．1问题在于SCM606
54．3．2调试器无所不能606
54．3．3常用方法606
54．4服务调试练习606
54．4．1直接调试：强制设置EIP606
54．4．2服务调试的常用方法：“附加”方式609
54．5小结615

第55章调试练习2：自我创建616
55．1自我创建616
55．2工作原理617
55．2．1创建子进程(挂起模式)617
55．2．2更改EIP618
55．2．3恢复主线程618
55．3示例程序源代码618
55．4调试练习620
55．4．1需要考虑的事项620
55．4．2JIT调试621
55．4．3DebugMe2．exe622
55．5小结626

第56章调试练习3：PE映像切换627
56．1PE映像627
56．2PE映像切换628
56．3示例程序：Fake．exe、Real．exe、DebugMe3．exe628
56．4调试1631
56．4．1Open? 输入运行参数631
56．4．2main()函数632
56．4．3SubFunc_1()634
56．4．4CreateProcess(“fake．exe”，CREATE_SUSPENDED)635
56．4．5SubFunc_2()635
56．4．6SubFunc_3()641
56．4．7ResumeThread()644
56．5调试2644
56．5．1思考645
56．5．2向EP设置无限循环645
56．6小结647

第57章调试练习4：Debug Blocker648
57．1Debug Blocker648
57．2反调试特征648
57．2．1父与子的关系649
57．2．2被调试进程不能再被其他调试器调试649
57．2．3终止调试进程的同时也终止被调试进程649
57．2．4调试器操作被调试者的代码649
57．2．5调试器处理被调试进程中发生的异常649
57．3调试练习：DebugMe4．exe650
57．4第一次调试650
57．4．1选定调试的起始位置650
57．4．2main()650
57．5第二次调试651
57．6第三次调试653
57．7第四次调试656
57．8第五次调试658
57．8．1系统断点658
57．8．2EXCEPTION_ILLEGAL_INSTRUCTION(1)659
57．8．3EXCEPTION_ILLEGAL_INSTRUCTION(2)660
57．9第六次调试661
57．9．140121D(第一个异常)661
57．9．2401299(第二个异常)665
57．10第七次调试667
57．10．1静态方法668
57．10．2动态方法669
57．11小结673

结束语674
索引676