|
|
马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
* K% k! j7 J8 l+ _' \+ X
" A6 X$ X; h I; E7 ~
书名:《IDA Pro权威指南》(第2版)
# x; z, w' C% P4 f. m" l作者:Chris Eagle6 L- d! v" x1 Q, _ _! ?& m
译者:石华耀,段桂菊
# l0 Z, h: `8 M- a出版社:人民邮电出版社
3 ~) M; E. v2 p, Q出版年:2012年2月1日(第2版)" V. ^2 a4 P$ O; y
定价:89.00元
$ x6 f* \7 v- f6 k' o装帧:平装
" _4 x V |* i$ X1 G w& o9 {ISBN:9787115273680- ~" `5 V- o8 g/ Y) l
9 C7 M. V( f& _3 c) q
购买链接:
( `3 d# T8 A% m5 {0 q% R( ] { Q @) i5 A
3 k' b9 R& h( x
亚马逊(Kindle)-> 传送门
7 ~& Y: }) k/ G9 r& x4 ?7 p/ C3 z% A5 Q3 {6 k
当当网 -> 传送门) H3 K! B! S- D
: r. S/ m4 N; n' \2 h$ @% r: q6 U) p
京东 -> 传送门/ U+ k3 Q: x5 h+ }% J5 @- ~
$ W/ `' L j5 r6 k) X P7 l$ x
天猫 -> 传送门 l. H9 i& t F+ p" D0 R7 T. M
3 v, U, n+ v2 e$ [# L5 K1 N* ]6 s+ ], K' S( R9 z
内容简介:8 i" Q# P9 E8 m) K
) B: B% X& A5 |8 x. E$ [
+ S5 t9 \+ P# I5 b5 S
《IDA Pro权威指南》(第2版)共分为六部分,首先介绍了反汇编与逆向工程的基本信息和 IDA Pro 的背景知识,接着讨论了 IDA Pro 的基本用法和高级用法,然后讲解了其高扩展性及其在安全领域的实际应用,最后介绍了 IDA 的内置调试器(包括 Bochs 调试器),一方面让用户对 IDA Pro 有全面深入的了解,另一方面让读者掌握 IDA Pro 在现实中的应用。相比上一版,这一版以 IDA6.0 为基础,介绍了它的新的、基于 Qt 的图形用户界面,以及 IDAPython 插件。《IDA Pro权威指南》(第2版)适合 IT 领域的所有安全工作者阅读。$ F; |# s, \2 S9 R, p
0 p% N; L. J: Y3 ^, x1 y/ `
- x1 r" T; }# V6 R0 \% Y- m
目录:: C( z+ w/ y( r5 P" T' _0 `
$ b) U+ [5 Q2 ^( B0 D
$ M7 ~ C( H" c1 C) x
第一部分 IDA简介
4 W: W. V' O9 z: s0 g& D# x) P( I
9 q5 H: a% ^( a5 e4 B$ R, |第1章 反汇编简介8 A/ x, L& S. H
5 v2 r; a6 G4 }$ d5 I+ m/ @
1.1反汇编理论
' ?. Z! H' t3 y1 q: U$ v: P' d1.2何为反汇编
8 u$ o! o) Q, N# Q4 g1.3为何反汇编
$ A; c% u, w" U8 l4 }1.3.1分析恶意软件
3 P2 u, z4 P0 U! g4 X4 N1.3.2漏洞分析
' L( G3 X, t6 u- c1.3.3软件互操作性9 J8 M* v5 Q$ I( Q2 s; |
1.3.4编译器验证
: J( K$ b t. W x! C+ P1.3.5显示调试信息) s5 N( G1 x1 @+ G! Y
1.4如何反汇编
, _7 B# h7 L/ H5 S; j* Q w* N7 g. {1.4.1基本的反汇编算法$ Z: ~9 k- w, U, X' {/ f, B! p
1.4.2线性扫描反汇编- B* X1 V1 D4 k) L
1.4.3递归下降反汇编
" `1 s' f2 D! T1 V5 C; y8 a1.5小结
) `+ [1 e @3 P, J: ] R! k$ h# }5 ~( p- c" ]1 A8 Q
第2章 逆向与反汇编工具
* }. r1 u/ l* H) {" H: T! C- g1 \6 y; V8 N. B, j
2.1分类工具& ` T9 M) e. m4 J$ o
2.1.1file
* X5 ]+ Q5 A$ m# b2.1.2PE Tools
9 T( C! t' f( T0 W& {5 y- k: T2.1.3PEiD
- V+ V: Z( Z) q |9 B+ P9 v2.2摘要工具1 J7 B/ V- i5 [9 q0 a
2.2.1nm
/ q5 z, g2 M ^) ]9 }* w2.2.2ldd3 ^5 x" ~ \$ o/ j
2.2.3objdump
: Y% M1 R$ ]* Z% ?2.2.4otool$ ?/ ]1 N( z6 k8 z2 \9 g3 J
2.2.5dumpbin+ M$ W: Q0 a, \" l- s! u
2.2.6c++filt F$ r* V: \$ |
2.3深度检测工具
, D; M4 V' r& B5 k6 J2.3.1strings! U3 S/ N! x; Y8 J/ ]# m: J
2.3.2反汇编器) U% G+ v% ?: ]" I7 ~7 ^2 `
2.4小结5 P& a# Z6 j! C, |
6 l6 ?5 A8 u! `/ k9 Q" x3 w
第3章 IDA Pro背景知识+ |* Y% y6 f$ _, A; f; |% ]
* |4 Y8 {5 F$ o$ t k1 P" y# n+ f3.1Hex-Rays公司的反盗版策略( V, \% K; Y3 W5 Q
3.2获取IDA Pro
) p4 M& A+ l7 t& i$ B3.2.1IDA版本
! f, l$ D" P/ o; h3 _3.2.2IDA许可证
( X+ M7 F) ~9 j! y3.2.3购买IDA8 _6 ?4 o0 k' ]) b& t: }+ ?) Y+ g
3.2.4升级IDA# v9 T l9 u+ }
3.3IDA支持资源8 ] g% I2 _0 f: o3 V1 T: _ |
3.4安装IDA
; k+ R1 B; T# R6 U; a3.4.1Windows安装3 {( k+ Y$ E/ a4 N# p9 M
3.4.2OS X和Linux安装6 l5 z/ K/ Y" v
3.4.3IDA与SELinux5 W* B! g; D" W9 T
3.4.432位IDA与64位IDA
3 R. a. a7 B! d* w, I A7 W3.4.5IDA目录的结构$ v0 U0 Q1 V/ {. _1 G
3.5IDA用户界面
. r' w& p* ]; V3 P' |3.6小结9 k0 y' y7 T: x, S0 r0 a
: a/ ~: A+ Y* u% g: e. T9 s; F
第二部分 IDA基本用法+ M& X- L! f8 K3 D' q% n
8 x7 _1 w, e5 b* N+ f4 X' t9 A2 }
第4章 IDA入门7 s9 r) P4 F f
& G4 p( ~- q" S+ D) \1 m4 [
4.1启动IDA
; E0 A; x, B' h4.1.1IDA文件加载
: T" D- {; J, P* j4.1.2使用二进制文件加载器
' l+ O) U( [! s6 u& `4 }: B1 ?4.2IDA数据库文件) F. t' j p6 m5 W
4.2.1创建IDA数据库$ `% h5 H7 v: ]* q3 O' V$ S h% S
4.2.2关闭IDA数据库) @5 m- c/ X: @0 r. A
4.2.3重新打开数据库" b& x/ k9 B4 b: j
4.3IDA桌面简介2 }8 ]; d' m- {* [- F) Y! u
4.4初始分析时的桌面行为
( S! H9 O. S n# H3 k& D4.5IDA桌面提示和技巧
+ Y' r) }0 U" g6 ]; P4 @3 v4.6报告bug* L8 g6 `. [. r+ H% e% v
4.7小结$ [; ^, j- r3 }+ o4 h
; s$ n% E# a0 a8 E" I
第5章 IDA数据显示窗口4 J3 @- X# s3 g; q; b/ l1 B
- q" `% }( E7 F6 t+ x5.1IDA主要的数据显示窗口
8 N U+ N. n# v5.1.1反汇编窗口( P8 j' {. q% ~
5.1.2函数窗口
. Y" |# Q# i; c2 h+ l/ ^* g5.1.3输出窗口+ x2 z; C$ \- f
5.2次要的IDA显示窗口: J/ n! @, Z% X* ~, n; k
5.2.1十六进制窗口* w% t8 z S5 x; j
5.2.2导出窗口$ L" x0 V* n' Y6 s
5.2.3导入窗口
+ A1 ]. q4 H! ^8 X5.2.4结构体窗口
2 V+ P6 F; |: v( y, y L. I5.2.5枚举窗口
) [" M' ]+ d7 u) @4 {5.3其他IDA显示窗口0 ^6 A: A& J& u$ t+ n- R( v
5.3.1Strings 窗口6 p. Z0 ]. \- f: W" l0 h# ^. {7 S
5.3.2Names 窗口
8 t: p o) Y# q2 Z7 O! B# o5 A5.3.3段窗口/ S# _4 K0 C' |6 \# ]
5.3.4签名窗口
, [& Y) b6 I/ ~9 x' l1 R5.3.5类型库窗口
& j! e) H- v& f5.3.6函数调用窗口
* M5 k+ I; u$ H( P5.3.7问题窗口% i( r2 J+ l! F
5.4小结
1 ?' Z/ f T# T, T8 Q& k% s9 F0 z% N* ]! M8 T, g
第6章 反汇编导航
% a6 u& ?% p3 b1 U+ [3 }2 }( [5 x5 N+ j- a" o
6.1基本IDA导航5 K$ D) P% ^& n
6.1.1双击导航
: {7 }2 N$ H! B9 j* d* F( F6.1.2跳转到地址% C( o1 w4 `" i) D+ K: t
6.1.3导航历史记录3 Q4 ~+ f% ~! }0 n# r+ a8 @
6.2栈帧
: b, ^( P1 U8 h$ t, ~6.2.1调用约定, U. p. I. p0 P- h3 S, ~, f
6.2.2局部变量布局& L7 w* X2 H y- u* k
6.2.3栈帧示例
/ a8 n2 I( h8 J, M4 Q' G6.2.4IDA栈视图- M5 `2 l- o. ]* r ~! P7 f
6.3搜索数据库
* w. Y3 h: c) _% p6.3.1文本搜索
' }# R* `9 q; F# z! m0 G6.3.2二进制搜索- e; H- F/ ^; N1 @
6.4小结! ^/ J/ {- w$ q9 p1 T8 G
: f( s( h' F P) V第7章 反汇编操作) E; k# d" k2 o' K/ @5 s
( E# ^5 r* h* [; l7 t
7.1名称与命名0 ?' n) J E6 y4 P; I; p+ ?
7.1.1参数和局部变量( c E, h: r2 O8 u- ~4 q+ a
7.1.2已命名的位置
) P3 _. r: O; P- R0 @6 m" \7.1.3寄存器名称! L) P+ V. \4 \1 p6 q
7.2IDA中的注释: O$ ?) j. i- `& |! R+ X
7.2.1常规注释
, ?+ t3 e' l B# i [4 j4 k7.2.2可重复注释
* k- Q8 B' {: W: K$ X( S b7.2.3在前注释和在后注释
. v0 `: M6 |' n o. w" a7.2.4函数注释# I2 `3 F0 K; w1 K9 \
7.3基本代码转换3 M! n: j, O5 g' d# M
7.3.1代码显示选项
- U6 A' H, k3 p/ O- R/ K; c k. s7 u1 `( C, ^7.3.2格式化指令操作数, L5 g4 J' C- D! M0 e
7.3.3操纵函数
, K3 Q. s! R6 {4 p7.3.4数据与代码互相转换
' B% U4 |7 p7 m, N& T) m7.4基本数据转换3 ^8 C5 K8 _+ x3 ]2 h( L
7.4.1指定数据大小
; C i$ o& w/ B) w4 s7.4.2处理字符串
% T( c4 Y% P4 c+ Z$ x) x# d; }7.4.3指定数组
! `) ?, L0 _0 e" u3 s2 Y. j2 S7.5小结, e; G& W: [3 G0 Q
; ]1 x. F( r4 s: R第8章 数据类型与数据结构
' ~. s9 ]( c9 Y4 e
, w* J4 _# d$ n& }: F, S8.1识别数据结构的用法: z5 I! A+ Z* K& b9 {7 T
8.1.1数组成员访问1 m) b- [: s# x7 D. i
8.1.2结构体成员访问9 Q9 n0 a; J# _ t/ u" v
8.2创建IDA结构体
\" I0 J5 }! w/ W& Z) J5 T/ N8 B8.2.1创建一个新的结构体(或联合)
4 u: J$ K# s, {! g& F, L j" M9 A8.2.2编辑结构体成员+ ]& U3 U3 S& T) @4 O3 {
8.2.3用栈帧作为专用结构体" R' n; X, m8 s& C7 o
8.3使用结构体模板, j$ B0 j3 l" y, c& p
8.4导入新的结构体
5 R J5 J# L+ g8.4.1解析C结构体声明6 q" T5 _" Y6 G# Z5 z
8.4.2解析C头文件
" `" E8 S; v( O% _7 O7 z8.5使用标准结构体; t- P2 P$ J8 Q5 t& q
8.6IDA TIL文件3 e; @5 L8 b% q, X" W) [4 L/ ~) U$ q
8.6.1加载新的TIL文件8 b# v7 P2 Y5 O, H1 H
8.6.2共享TIL文件* I9 f+ {+ E9 G# ~! C
8.7C++逆向工程基础
& l8 T+ Y' M0 A. k6 W* U8.7.1this指针
& i: r# W' U% ]8 Z) n8.7.2虚函数和虚表
8 L7 N, r# B( l8 |0 u8.7.3对象生命周期
, [, R: ~# m. b8.7.4名称改编( n* F" _" S8 ]! f, b" D: y9 G0 H
8.7.5运行时类型识别
v( w* G' f' z- n5 N8.7.6继承关系8 Q! A$ \- I* v- g' B
8.7.7C++逆向工程参考文献
2 ~! \& O4 D! u I8.8小结! k* p0 \) \4 ?
0 u' L# ^3 J! C' J: u1 x. l
第9章 交叉引用与绘图功能- x! b# M; M+ @2 L
# i( U: f' t: p( H/ S% q: _0 B9.1交叉引用5 a3 o0 v4 L6 O$ o* c: d
9.1.1代码交叉引用& x! i: H% A& q6 t% d9 Q* L
9.1.2数据交叉引用
% r# ]' I5 ~" M S' R9.1.3交叉引用列表( u/ j; q" U. S8 ?, M* w. U; y
9.1.4函数调用
- B$ m( S) O% X$ O2 E9.2IDA绘图
; ^$ m5 n; j3 c9.2.1IDA外部(第三方)图形4 K2 c; r1 U. d5 F* s9 w3 w/ m8 W) L
9.2.2IDA的集成绘图视图" S" A8 ] [3 O8 i, p
9.3小结
1 L7 \7 g/ z& D+ j- P: a% Q
9 ^# Y' q. }: E第10章 IDA的多种面孔
3 [$ _' d" x& j5 D
/ g2 ]! O3 z, |8 U7 P5 C l10.1控制台模式IDA
`( j, @, U! c q8 I10.1.1控制台模式的共同特性
3 {6 O+ e. a% [7 u10.1.2Windows控制台
# U$ M6 O' J. I0 w10.1.3Linux控制台; \* S( D+ [( j, Z0 J) a- }
10.1.4OS X控制台
6 u1 j& C+ z5 l% c10.2使用IDA的批量模式9 g: C! ~: G( W0 a( q. {
10.3小结5 D; H4 g) q. G* k
: b1 j+ E" Q3 ]- Y7 @第三部分 IDA高级应用* D8 ^, `5 B+ X( {& W
- [9 k& k4 V/ G& a `2 O+ O- @
第11章 定制IDA( \; u- |* P8 ~5 @# J( Z8 `
1 c( [$ N6 q4 H
11.1配置文件3 Z0 ?3 M; x' M5 L
11.1.1主配置文件:ida.cfg" I( v& f% C7 U& r+ d) v
11.1.2GUI配置文件:idagui.cfg
E2 n9 ]& G& B& i5 x+ }9 S11.1.3控制台配置文件:idatui.cfg9 Z5 Q$ t9 B6 j$ y9 C
11.2其他IDA配置选项
9 s6 I7 H) B, I- K6 J11.2.1IDA颜色
2 c Q, ?) `9 C* \11.2.2定制IDA工具栏
% g, X# B+ M: y( M$ _$ d! ~11.3小结
9 c2 |# P4 } U* X+ V9 o. S6 B& v( h* a$ q- _
第12章 使用FLIRT签名来识别库$ l- Y2 Q2 |# z% T1 U+ S
% X/ a5 ^% I2 |# H3 J* g
12.1快速库识别和鉴定技术6 f8 q8 v. c4 h6 r' C, c
12.2应用FLIRT签名' k& Z5 t& Y' h t
12.3创建FLIRT签名文件
0 A: W! }7 w$ ]4 F, ~12.3.1创建签名概述
. `' C5 _! T0 Q2 @/ B' @. Y) j9 p12.3.2识别和获取静态库
# l$ G, i- O% S2 ]* W12.3.3创建模式文件- i- r& O' u* N; Z4 i5 P
12.3.4创建签名文件
+ I3 d J- ^7 m3 s7 h0 v12.3.5启动签名2 a- ~! @' k( e! i2 y2 t
12.4小结$ p N% y. \% [: n4 N( C' x9 ~. v
P. z1 a) j' m6 e2 j
第13章 扩展IDA的知识3 r2 u9 y. X F B9 X: l' l
) X& w! p; P. G( [/ J& B1 l
13.1扩充函数信息$ E) z0 h6 L. M, l. W. _
13.1.1IDS文件
% o6 H6 v+ c# ?/ c, D" _13.1.2创建IDS文件& F3 Y0 h( _ C2 Q0 U3 z
13.2使用loadint扩充预定义注释) B. E! E6 X2 x# H9 i% }
13.3小结" f n. d+ i! C& T
7 r. J, C& L, q6 A6 ?2 @, c% H9 H第14章 修补二进制文件及其他IDA限制
: X% `2 K& u3 D4 j. j3 C8 ^" Z' n
* J' ?- N& \( N0 U5 h' W. }14.1隐藏的补丁程序菜单# Z) z5 Z* I3 A: q& [5 Q6 {, U4 d
14.1.1更改数据库字节3 r7 ~6 j! A/ R' X5 |
14.1.2更改数据库中的字/ i _1 B' y: v9 z
14.1.3使用汇编对话框 q3 P" j: c8 O6 g" G
14.2IDA输出文件与补丁生成& |0 S2 `8 [1 b& {9 E% o9 E
14.2.1IDA生成的MAP文件4 [* r$ Q7 n2 S; s8 H5 P
14.2.2IDA生成的ASM文件
& }8 j* Q- C% ]/ ?& v14.2.3IDA生成的INC文件: C6 O w, d" D& z
14.2.4IDA生成的LST文件2 v# Z9 I l9 `4 }7 Z
14.2.5IDA生成的EXE文件
: \: P: _7 |4 N0 i+ U6 K6 j14.2.6IDA生成的DIF文件
* l7 c% a& ? |% E14.2.7IDA生成的HTML文件5 W& K0 }( B( C9 w F& h7 n l
14.3小结
2 t, [* v0 S6 }7 v( O: X( C
) n; N7 @9 J+ x% I4 ]* }% v第四部分 扩展IDA的功能
0 C- U6 w+ W8 e3 | q: b( W
9 k* ?9 _7 }# r- }第15章 编写IDA脚本
* V( v1 E0 M7 l: j# z% H1 a! v6 Y5 _- G) R6 i/ [; [( y
15.1执行脚本的基础知识
+ j6 D, _ G# T) x) N15.2IDC语言
; h4 r6 }' M2 x$ w: ]2 X# F6 u/ p15.2.1IDC变量
/ U# f6 J( Q0 q8 |1 P" l15.2.2IDC表达式
& }( e6 U5 a2 @6 R5 ~# x15.2.3IDC语句$ s2 L1 J$ T j% t$ k6 V6 H7 z
15.2.4IDC函数( `% }6 H+ S- `
15.2.5IDC对象/ H0 e8 s, W5 k* ]) ?% ]/ |
15.2.6IDC程序/ t& O9 e' x' U
15.2.7IDC错误处理. S- t) z$ B; G/ a1 v& Q
15.2.8IDC永久数据存储
. D& B9 b" S; v+ C15.3关联IDC脚本与热键4 D+ b' ~4 W& Y
15.4有用的IDC函数8 J/ d) d! C- u) k/ _
15.4.1读取和修改数据的函数( x* D' L- [, O
15.4.2用户交互函数
* R# l6 K# H( @8 F* g4 b1 b8 \9 i, G F15.4.3字符串操纵函数' F" J" w1 s- ^$ S
15.4.4文件输入/输出函数
) [ z1 P9 y1 L15.4.5操纵数据库名称
0 d% ~( j7 V4 g( X& p15.4.6处理函数的函数
; Z$ {* M _* L2 P9 O! [" g( E* m15.4.7代码交叉引用函数. S+ i$ _' H+ b, K1 G: f9 C
15.4.8数据交叉引用函数! F6 `* @: R9 r G7 e) U7 Y: `
15.4.9数据库操纵函数
' n5 z' X! D7 S: Y7 U2 w$ ~4 b; I( B15.4.10数据库搜索函数
! L; h T; H _15.4.11反汇编行组件: U l7 D% N) a" T5 S& X( p
15.5IDC脚本示例 s6 K+ P4 m8 C! L; q) B! s
15.5.1枚举函数, v! v$ t( V1 x8 D- ]
15.5.2枚举指令
! T) |) U' M9 Z! D/ T! j, T15.5.3枚举交叉引用
# I2 r$ P/ v2 N$ h1 W8 G" B15.5.4枚举导出的函数
% f9 V3 z1 |$ L15.5.5查找和标记函数参数
4 f. \5 D& v, e5 O, h15.5.6模拟汇编语言行为- k5 R& H9 P* ]+ W8 h0 q
15.6IDAPython+ N2 X# N/ l& T; ]2 k' C3 V
15.7IDAPython脚本示例
m9 o# B- k7 X; E& `7 a15.7.1枚举函数
% J4 d! W. Q* h; k15.7.2枚举指令9 j8 s* G, r/ \; Z
15.7.3枚举交叉引用# n& @4 ~! R- Q# }
15.7.4枚举导出的函数! }$ H. g2 _2 z( ~5 f6 z
15.8小结
' _: n9 W8 W$ U
8 J) R" Z( G0 V. Q! P$ ]第16章 IDA软件开发工具包
% r" ?+ @5 C/ B. N, s; Z
, c" ~! ^! F. v# a16.1SDK简介* C3 b8 i4 c; I2 d: x5 @% n
16.1.1安装SDK# c' t6 S% g# @8 ~, S0 ~) n0 Y
16.1.2SDK的布局
. I7 J2 p8 s9 {16.1.3配置构建环境' a: E' k7 m9 [+ z: o
16.2IDA应用编程接口+ {4 D/ z \ T: W* R' l) z1 Z
16.2.1头文件概述6 A8 E# W/ g. b- W. M2 n+ c3 ]
16.2.2网络节点1 j: X! r8 t' v6 J$ l/ X7 g( X
16.2.3有用的SDK数据类型. S/ V4 ]+ i' P$ a8 ]
16.2.4常用的SDK函数
# e9 N8 M- P5 E16.2.5IDA API迭代技巧
/ K p! V" g* l$ r16.3小结
/ r T& Q: l2 P* r( @& q# h# G4 T, O% t% f. Q R
第17章 IDA插件体系结构
0 y O& ~& }: @* @
# j: d* d% @% t: n" y17.1编写插件1 w* B9 B4 y& Y9 e8 N
17.1.1插件生命周期; K6 P4 u. ^; V) l. k
17.1.2插件初始化
1 _6 A) z1 Q2 m17.1.3事件通知
- |+ N& [; G! P( }; g. ^17.1.4插件执行
3 |) `1 \/ j! c6 x+ [! Z17.2构建插件
: q0 \+ ] e# [- m6 G4 K3 Y17.3插件安装% G( Q* ^8 C5 y* w: b
17.4插件配置
$ V8 N+ Y+ g" g0 S17.5扩展IDC
7 a k9 E+ G% s. J8 |% F7 \7 L) d17.6插件用户界面选项
3 b% r. q6 e5 p2 v0 q A2 b17.6.1使用SDK的“选择器”对话框! ^" [. P8 ?3 g& R
17.6.2使用SDK创建自定义表单" k4 B$ H5 |/ Y; t5 {1 E
17.6.3仅用于Windows的用户界面生成技巧
/ G/ S2 q" | S) I& R17.6.4使用Qt生成用户界面0 y+ m( d" Q; P+ L3 N! Y5 {
17.7脚本化插件
7 P& P0 R5 u F, U17.8小结. X2 j6 p6 f$ f" c. {
2 F' A8 ^- w7 G' F9 A4 e" }
第18章 二进制文件与IDA加载器模块
, U% |# b8 `; ?# S7 j) f' N
4 R) O/ B7 c, t+ R* \% p4 j: s) D18.1未知文件分析
1 W1 Q6 @8 ?. C# m! {18.2手动加载一个Windows PE文件
; Q* }+ |! e, T% x18.3IDA加载器模块$ Q) L3 ~7 m% Z3 w
18.4使用SDK编写IDA加载器
- W5 J4 E4 g+ H" N S) z" k* Q18.4.1“傻瓜式”加载器; U) }, y% ?# r4 l
18.4.2构建IDA加载器模块
4 K R* D- p, C18.4.3IDA pcap加载器
& O3 W7 S: a4 {: S8 ^) H6 c% _4 @18.5其他加载器策略9 ^5 `6 a! ^ M& A+ R Y( ?
18.6编写脚本化加载器& u( }) K2 q+ k9 z V$ ^$ m, k" L
18.7小结5 w. U) I8 s" l# z0 a4 M
( _) D% A" S1 `第19章 IDA处理器模块 I0 S# V2 g5 v' ]
+ n" G* y3 r& J2 Y4 C
19.1Python字节码
, a: b" W! W$ o8 o/ y' M19.2Python解释器# ?) V# V% `5 ~; p p
19.3使用SDK编写处理器模块
# p! Y4 a) f+ j; L- I* k2 Q1 G19.3.1processor_t结构体" U' X/ ^0 P# j6 t% t& b0 G9 s! |
19.3.2LPH 结构体的基本初始化
1 }; @) I. `9 G0 M' Y$ h19.3.3分析器
/ t& t$ g+ T6 H+ t1 Z% d19.3.4模拟器
. E) x- ?5 I3 i& S5 d" V19.3.5输出器% U( {( [, y3 \5 D- v/ I
19.3.6处理器通知
$ A, J/ s( Y( Z- V. r/ x8 y! ]% o19.3.7其他processor_t成员4 F' L0 v8 E2 |2 o I6 ^/ B
19.4构建处理器模块
0 E: C: C$ o2 u6 A- N19.5定制现有的处理器
+ q$ k+ j) J( ~, X8 |- `, H19.6处理器模块体系结构
. G+ g9 ?& o, g. B; n. x5 y1 T19.7编写处理器模块9 v& z1 N: Z, c
19.8小结
( r- \3 {( Z; z
3 W2 m( Y7 [3 E) y2 }$ s B第五部分 实际应用
J/ J4 O- A0 \2 [2 S
~- A5 T8 u+ F% J- F0 M' d第20章 编译器变体/ j, W5 \$ c! k. i7 l. T
3 P8 [( M& F+ h* D
20.1跳转表与分支语句
, J" ?3 G: d7 {4 i& I5 `6 ^9 G: x20.2RTTI实现
" P% l' |' F( p; {# f20.3定位main函数
) k& U/ J# _' A3 v/ M/ V$ ]20.4调试版与发行版二进制文件
1 K$ _+ f7 N1 b9 F# S' V2 N20.5其他调用约定
; R6 x* j9 k. C) R& [, X" E20.6小结
( a2 P% W: w/ ^1 c J: D# B' o, P. J9 r/ E
第21章 模糊代码分析
" g/ h$ P$ H' H8 H
- X& @3 T( r! M21.1反静态分析技巧
V$ z1 y- T- O+ N21.1.1反汇编去同步
& h* w4 G/ I; Y! P& I21.1.2动态计算目标地址4 H p! N2 s" J# Z0 J# t* R; s6 W
21.1.3导入的函数模糊
6 Z4 I3 p2 @* a; B21.1.4有针对性地攻击分析工具4 B5 O8 O4 |( H' `" Y4 g" T
21.2反动态分析技巧 F2 x/ D. {8 h4 W+ T
21.2.1检测虚拟化
; p% g% X- t- I ]& E21.2.2检测“检测工具”( E; |. i' Y8 J8 `2 Z) K8 e9 B
21.2.3检测调试器" n/ P ?- b2 P0 F
21.2.4防止调试# o E9 @% K t6 k! c
21.3使用IDA对二进制文件进行“静态去模糊”
3 r1 P4 A" q( _5 R Z+ e: `21.3.1面向脚本的去模糊0 C- P& U+ r d% X4 O; C) d5 d! P
21.3.2面向模拟的去模糊6 h' ~# {1 O/ @0 v4 P7 `* O6 [4 O
21.4基于虚拟机的模糊
) V2 J' D3 S8 S4 ~7 u; C21.5小结
- P0 {- G) c, S& I: a& \6 B6 w5 `+ I# c
第22章 漏洞分析$ l6 v- n/ Y4 `: b& e# U
# F6 Y# ?; g4 n9 B1 \
22.1使用IDA发现新的漏洞0 B8 ~$ ]2 g5 j- E
22.2使用IDA在事后发现漏洞
$ A9 l: I, p7 o0 k& M, f- w22.3IDA与破解程序开发过程2 {9 h/ U- U6 Y% \3 L" N
22.3.1栈帧细目! f8 d( L. |+ |6 Q+ u
22.3.2定位指令序列
! ^" k6 L; C7 L- n3 c! H1 \/ A' D! t22.3.3查找有用的虚拟地址9 Z$ F/ F+ U# K$ l% H+ v- B s
22.4分析shellcode
9 v+ m" p, l! Q$ I22.5小结6 T! _, _4 O# \, |; I
8 z/ X* u* u5 R# v' T! h' f4 L第23章 实用IDA插件% z; v$ e; l# x; H
" h' d4 n$ U0 @. ]/ k0 b7 J z
23.1Hex-Rays( X) r a w# n; c
23.2IDAPython
6 C) B, v; N# A3 }, y0 m23.3collabREate
- `! [1 P _( L+ y! S23.4ida-x86emu
8 v$ F2 d! Q, M( f% F5 H9 ?23.5Class Informer
# Z' v1 X7 j; K. e23.6MyNav# s9 P% J2 F7 h; i
23.7IdaPdf1 Q6 C2 V1 a( m+ _5 f+ [% o
23.8小结
! s W: J5 \2 G1 _' g: W
# f" ~6 c+ i( ?3 G第六部分 IDA调试器
1 g+ `/ x- w8 M$ r' u6 B7 @( K) I4 g
第24章 IDA调试器) m) L! c3 `' h7 Y8 o. w
1 j! k; `& G @# E24.1启动调试器
8 r, q. f7 @4 T* S" ~" `24.2调试器的基本显示
( Y3 j' e/ L9 _: c; x24.3进程控制
" \- W3 P) E; V' c- m% i24.3.1断点
' W8 ~' }. D2 Y0 m24.3.2跟踪
. s9 p+ f, P- G* c9 T4 Z$ G24.3.3栈跟踪9 O; z6 a9 X& f
24.3.4监视
5 \# q) p2 |" |; I, r* J- i( s24.4调试器任务自动化4 k+ _* }" b4 H W8 K: _6 Y5 ~
24.4.1为调试器操作编写脚本/ S- e: Y. T5 g. m. V, U: @& p3 t
24.4.2使用IDA插件实现调试器操作自动化1 G- a' f" _" q7 |/ g- Z9 {$ j
24.5小结
) X9 `9 `. c5 o/ g% N5 }1 T, _4 Z" ^, K" H( k0 R& U& D/ j
第25章 反汇编器/调试器集成0 a" l2 \- h' t* n- n
- O+ c/ X) O# |5 x( b/ A, E25.1背景知识6 Q, t9 {0 v# {2 `$ E; F
25.2IDA数据库与IDA调试器- I& d7 r! Q q0 j# j
25.3调试模糊代码9 b3 M& y- t6 ^7 J' |; t/ |
25.3.1启动进程) |1 r% K' x: j8 Z' i' W" \: m" ?
25.3.2简单的解密和解压循环
C# F" i1 m/ V+ [$ p25.3.3导入表重建7 R$ M& i/ d" D4 C
25.3.4隐藏调试器! |7 y, @! @' f0 E1 ~( M( O
25.4IDAStealth, D7 S0 m/ }* p$ b0 h5 N
25.5处理异常7 A e! Z$ `( I2 E3 `
25.6小结, @ H( F+ [& d* h; z3 Q) U
4 r4 g; C' h( _( b. t: M第26章 其他调试功能
% n: E: b4 \7 Z4 U+ b+ V e5 y1 G* [5 A1 `
26.1使用IDA进行远程调试
* O. Y: q2 F0 t7 y9 x& K, f26.1.1使用Hex-Rays调试服务器
' Y) a9 N7 L' E8 H1 j26.1.2连接到远程进程% R$ @0 s }4 N# H( B- P$ d+ q/ Q
26.1.3远程调试期间的异常处理
! `: V( a6 b( Y% t7 J5 ?2 H; @# ~# d0 Y+ E26.1.4在远程调试过程中使用脚本和插件
i- o( j. ]- g8 w4 \/ N. W* n; L26.2使用Bochs进行调试8 u/ i& U" z H- [0 X1 ^
26.2.1Bochs IDB模式% \5 Q+ ]2 r5 y
26.2.2Bochs PE模式/ _% g1 ^: X8 u
26.2.3Bochs磁盘映像模式+ Y6 r. E5 P: `, K5 U! w: n
26.3Appcall
0 L0 y, n4 a, M: x26.4小结
2 V3 m0 l( v5 x0 W, a9 k: h1 T- U5 X% z% a
附录A使用IDA免费版本5.0
% w9 Y% O- r) p2 ^, c9 ~- f
2 ?( A' J& r4 V) k附录BIDC/SDK交叉引用& Z6 C# [9 l7 E: a
; D- o7 L% Q' q5 x0 k |
|
( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)
狗仔卡
发表于 2016-11-12 17:58:21
置顶卡
千斤顶
显身卡
发表于 2017-6-15 15:01:15
