|
|
马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
% j. Q, x- P- b) x* L" P6 z6 l
9 U- S7 |3 R/ _1 W: V0 i$ p
书名:《IDA Pro权威指南》(第2版)7 f+ I" L0 e1 Y: X+ v
作者:Chris Eagle
* r' `: i/ i/ x$ k" Z9 n# M3 \7 v译者:石华耀,段桂菊7 p% K" Q: B. }4 ?
出版社:人民邮电出版社
( G$ e8 n' ^* a出版年:2012年2月1日(第2版)- W! z; F/ Z; j/ v. h: q
定价:89.00元
; \1 \8 T# _: H装帧:平装
# J, \/ {3 y$ e0 }ISBN:97871152736808 V4 Y* k+ y5 D5 d
4 g0 A$ d( L* a! h" n- b+ n' y购买链接:
# F; ^( c5 y/ _2 v* e; J5 ^ V2 Z& R9 }! \5 T( ~
2 O8 z1 s% v* s: Y
亚马逊(Kindle)-> 传送门3 N, J/ \9 d! E+ }4 x4 O
* U- K. l1 B: ]* `( l
当当网 -> 传送门
, A! j' T+ s* x4 U" x* A- o! L( O8 |: z% o0 `& }' g9 a8 D' P! h
京东 -> 传送门9 K* G2 N+ K- e
! O; b0 {6 c2 T$ R2 l( x天猫 -> 传送门
' }4 O1 G. X) a) T0 F" I5 n
2 E9 ^) X4 |0 D. F3 z. a8 E/ S$ t# Z" D* i0 H' B( U
内容简介:
0 u. _) X+ S: w7 H0 t0 [
% H4 x# o9 a j( m: i' D
# ~7 f) o5 @. N9 v2 _0 G& y: P《IDA Pro权威指南》(第2版)共分为六部分,首先介绍了反汇编与逆向工程的基本信息和 IDA Pro 的背景知识,接着讨论了 IDA Pro 的基本用法和高级用法,然后讲解了其高扩展性及其在安全领域的实际应用,最后介绍了 IDA 的内置调试器(包括 Bochs 调试器),一方面让用户对 IDA Pro 有全面深入的了解,另一方面让读者掌握 IDA Pro 在现实中的应用。相比上一版,这一版以 IDA6.0 为基础,介绍了它的新的、基于 Qt 的图形用户界面,以及 IDAPython 插件。《IDA Pro权威指南》(第2版)适合 IT 领域的所有安全工作者阅读。
$ a9 i- T3 X. V5 F7 p
# L' p" |: i$ S% `8 W* u
W5 i" Y k5 ^5 b( g: J目录:
4 v; R% k0 B1 I" W2 E5 l0 N' i. F
1 _. V; f; U3 B- q9 n5 i
3 j2 |' F: G" Z) ^
第一部分 IDA简介
) {: c, M4 f' u$ L* a X" O& W6 Y/ x, `0 W3 i7 Y7 ^ o
第1章 反汇编简介$ v& i6 u1 F" m; X1 z. }% S
, T. z0 {7 p+ W
1.1反汇编理论- C7 L: E) @+ m$ T. g% k* W
1.2何为反汇编8 j3 Y; L; q3 B3 j+ V8 b0 L
1.3为何反汇编# Y( i# e( ?# X
1.3.1分析恶意软件 z: v# Q0 L$ `$ X
1.3.2漏洞分析; y3 [" T5 k, Q, g/ @) L
1.3.3软件互操作性
* }$ N( R& F% Q- f1.3.4编译器验证
+ ?1 K" H& P- f8 t1.3.5显示调试信息
* @2 U }5 o, T' U- U) w3 z1.4如何反汇编( a5 O0 ?* y8 K6 q3 R4 S0 b
1.4.1基本的反汇编算法
' U) [0 \ X4 w8 N: l8 W1.4.2线性扫描反汇编" r6 x, i D; v9 Y3 n
1.4.3递归下降反汇编 M/ A8 C. [( T' v, I: I5 s4 s
1.5小结
; t8 I0 W1 y" D0 G, y: E: h
' q5 e$ h0 j& k1 l& N0 U& W3 b$ E$ W6 t第2章 逆向与反汇编工具
% b' C3 s; o+ k+ j0 c
& E: ^% W! A' ?' Q7 e1 ~2.1分类工具( g- h4 R( l8 u8 l1 E
2.1.1file
* D" m7 r) d" X" l2.1.2PE Tools( Y: Z: E7 ]* r! }( T3 H' F0 H
2.1.3PEiD
- a+ `5 E: V3 A2.2摘要工具5 o4 {! @1 `1 ^8 Z
2.2.1nm, \, q @+ G2 m. w1 x
2.2.2ldd
2 A7 e+ p# I) v2.2.3objdump
5 L* ?/ Q s7 q( M, A0 c2.2.4otool# f. s Z6 x2 i; o2 V: O* I$ j
2.2.5dumpbin4 ^9 C! h6 H; b' P
2.2.6c++filt" @: I9 G; N3 R
2.3深度检测工具
) d. r4 X7 N7 \! o. u4 A8 s2.3.1strings
; I' [$ L, F ^; h7 ?( g" g2.3.2反汇编器
0 a0 r- V r7 f8 B. S" o' R: j) j2.4小结
7 L( d" D0 F9 V3 j T0 T4 a, W v7 G5 \, M0 K0 Q7 u
第3章 IDA Pro背景知识
! C, P9 l* u) ?# K" H* X
5 N$ M" P+ s; V( D; y) j: ~0 X3.1Hex-Rays公司的反盗版策略
* d+ I. X9 G7 B3.2获取IDA Pro
6 p: f1 B0 {! f0 J3 D8 s3.2.1IDA版本
, z5 j# Z) _1 t3.2.2IDA许可证
1 q' h- L1 e6 w3.2.3购买IDA
* b% }# f5 s, k& F& `- g0 q6 ~6 _" o3.2.4升级IDA
[% V; c- J" M6 D3.3IDA支持资源9 Q3 ^3 D+ U5 b6 c
3.4安装IDA S4 C3 R* p+ T9 _9 E
3.4.1Windows安装) j X$ |, T$ R& k8 V; m8 Q. r$ T
3.4.2OS X和Linux安装& i: _! r& k% u) W% r
3.4.3IDA与SELinux; o5 x) ^. t3 a; P6 ]
3.4.432位IDA与64位IDA! m9 L# y% y, |9 Z2 {0 ~7 n
3.4.5IDA目录的结构6 ?* A0 M/ C$ K; C9 M
3.5IDA用户界面
: o) K/ o3 ^4 ]- a& q3.6小结
5 d$ @& W8 ^- @% b# n! M& ?" n% i4 g# G0 o( O3 x* d+ o7 H
第二部分 IDA基本用法
, k4 o W5 p0 _8 I8 M: f
. T% I0 G6 l0 \, v第4章 IDA入门4 l( Z2 O C# p. H4 k8 w+ l- ?
y% {5 l z$ f6 y0 }4.1启动IDA
0 C0 x" K" W$ c! {4.1.1IDA文件加载/ z2 h" F( T, w) M
4.1.2使用二进制文件加载器' ~7 s5 \$ E/ S
4.2IDA数据库文件0 O, a) u8 Q9 P1 P7 [# R
4.2.1创建IDA数据库
! o2 O3 e% E( }' I2 V7 Z) _4.2.2关闭IDA数据库0 N( p5 o( d6 a# F) ^) C
4.2.3重新打开数据库8 R. f, q! N3 w: W8 V
4.3IDA桌面简介
. S& L, _4 C1 ~' U4.4初始分析时的桌面行为/ N! N" Z% s# _5 k2 v) W% h
4.5IDA桌面提示和技巧
/ ^& B2 u2 u3 g7 n7 U4.6报告bug
8 W+ C# D$ e7 Z7 M( t: ~% ~4.7小结
& n* X d0 D# P5 o3 F9 i: }1 r1 }
- P& G2 y3 {6 d) ]% b) [第5章 IDA数据显示窗口5 H3 t. a. Y: D
% O. J N b! x: a6 ?4 U5.1IDA主要的数据显示窗口* ]) z( k6 @9 [) `4 B5 N
5.1.1反汇编窗口
/ @) s, G. r9 D+ v+ a5.1.2函数窗口
; C9 E6 Y# q! z5.1.3输出窗口1 Q8 x _% n; |4 W& b
5.2次要的IDA显示窗口# _& W- t! X6 C: M# w
5.2.1十六进制窗口" {2 n" `+ A2 {6 I! y- H: z7 m
5.2.2导出窗口7 o2 B' N6 B) Z) Y! S$ `1 c
5.2.3导入窗口
( \) n: u x; F* j$ M( Z5.2.4结构体窗口3 |2 Q0 Y2 K( j' P% @9 @& b7 B
5.2.5枚举窗口8 V, X' B. q- r: W. i$ Z) W
5.3其他IDA显示窗口
& R7 E8 c* }1 R% P( {5.3.1Strings 窗口
5 N# N! V5 V' q) q+ {* ]! g5.3.2Names 窗口
( t8 K5 l5 K" i. a% ^5.3.3段窗口
' o2 B, ]# L/ G1 X5.3.4签名窗口
. G5 N7 `- r5 {$ u5.3.5类型库窗口6 q8 e( z3 U# d; \8 x
5.3.6函数调用窗口6 e/ y2 K8 N0 l1 f
5.3.7问题窗口/ X# h; a0 o; ]& i: v( D1 K
5.4小结+ C* G, @9 f; L% P
/ N) I5 S" D( E% q; @6 ?第6章 反汇编导航6 n+ ^+ `8 ~2 T
2 N( i$ B( q) ?9 \# C" G( k6.1基本IDA导航- X3 t$ _5 X s$ Z B Q
6.1.1双击导航" D' B% S' y( A$ C6 g
6.1.2跳转到地址
. p3 M! X$ f+ v9 n6.1.3导航历史记录
5 E* O8 M3 A/ g2 }* G6.2栈帧
+ B4 m7 F' j& ]/ T% {! s o, G, K6.2.1调用约定
1 Q& ?. n( I, j6.2.2局部变量布局
0 ^; G6 e: O. ^6.2.3栈帧示例/ D2 }# E Q8 R
6.2.4IDA栈视图, T3 v9 @3 K2 S: x
6.3搜索数据库
% ]# Z `# T3 B! R( O5 P. W& ^6.3.1文本搜索
$ o$ C. {5 J0 `5 S; n1 s6.3.2二进制搜索# j, a0 H% \: j! V6 Q
6.4小结
# N, S. V) H p+ {1 R$ i( [, \& d! E) I
第7章 反汇编操作4 C. s- D, l8 @4 ~1 l$ b |) z. d" T& z
( m% K" r6 |# {6 ~) i- ?3 n! H7.1名称与命名
6 z+ ]$ a5 u$ X& v3 P7.1.1参数和局部变量
8 {& S7 A2 _- i% M* ~/ l, r* z7.1.2已命名的位置
) ]7 N6 e% P+ P7.1.3寄存器名称% a: J! z- A# b$ E
7.2IDA中的注释) d. L$ X1 ^7 x+ ^: `; E
7.2.1常规注释
. Q1 I* a- [+ f5 k7.2.2可重复注释
% x0 ?% {9 T% S7 {2 l. {7.2.3在前注释和在后注释0 o6 l0 v0 q! V8 c0 |- L* J8 ~, ~
7.2.4函数注释3 S \: n4 i* y# {7 Q, @5 }8 f
7.3基本代码转换" e; f; ?7 @+ w& p+ Z4 L9 h
7.3.1代码显示选项
4 s8 M0 Y# u5 Y- o# r# \# @0 p7.3.2格式化指令操作数6 D8 f( j% N, w: k6 Y: Y0 R
7.3.3操纵函数 S5 b# `) ^% W1 F+ z0 ^: d
7.3.4数据与代码互相转换
1 w- |- S1 A( A3 ~0 D6 Z1 L+ G5 I7 a7.4基本数据转换) |# Z# v2 a, Y" v2 B4 p
7.4.1指定数据大小3 V, o1 |0 D2 H- N& z0 h
7.4.2处理字符串
0 x) ~1 R- G& B: A" J; D% e7.4.3指定数组2 E. B& ? T8 E# u
7.5小结
# v% P" n7 S& f0 ~/ E( l
7 t0 m+ H4 c+ ~8 F$ C第8章 数据类型与数据结构
9 O2 J m4 r" x0 w: E
& F' O5 B0 d R* W1 `9 h8.1识别数据结构的用法3 [( R9 ^6 o; [
8.1.1数组成员访问
; m3 P4 [; @8 n- q2 J; |2 \( H- [8.1.2结构体成员访问
8 D, c( h, U) u5 V) E8.2创建IDA结构体
2 K0 e }( [7 K( q# q' ~8.2.1创建一个新的结构体(或联合)- Q" X0 Y1 {0 x- J1 j
8.2.2编辑结构体成员1 M1 ?3 U7 o! w8 z
8.2.3用栈帧作为专用结构体# M+ q+ T( ?" x: I: V' b
8.3使用结构体模板
! F8 ^+ }9 k: i! P2 ] }1 g8.4导入新的结构体
9 [, M: g, C6 U& s( d6 u8.4.1解析C结构体声明
0 n7 K+ |' A* E9 Y3 N, V- h5 O8.4.2解析C头文件
5 y/ D$ `6 S6 E1 g7 {$ J0 @8.5使用标准结构体8 l, ~6 ~7 i E6 W2 l. r
8.6IDA TIL文件
5 H. C2 R% [/ V6 I7 j) u6 w8.6.1加载新的TIL文件3 R7 S9 k7 M" ~- z) N
8.6.2共享TIL文件
7 Q) q3 G5 F0 E8.7C++逆向工程基础8 D( y5 g( S/ i8 r! B5 A0 h
8.7.1this指针! c% [, w; n9 L* C/ J1 C
8.7.2虚函数和虚表
. z* Q/ p$ ~, @7 o5 w8.7.3对象生命周期
& v4 N4 T* q. J$ W8.7.4名称改编 M, O3 V% ?3 t7 o) M% _; ~
8.7.5运行时类型识别, W7 Y: Y: @' ?* Q* h! h* \& _
8.7.6继承关系
) I# J! m7 [' ~, K8.7.7C++逆向工程参考文献
$ W3 r/ Q$ L2 G8 j) G: e8.8小结7 }0 k7 X5 i' v3 E$ j
1 ]; n2 s! f" o1 M6 D! y
第9章 交叉引用与绘图功能
; e1 _; w! N' L7 O8 G
. p7 N# E8 o/ E6 B3 v( e9.1交叉引用3 [: l& N" ^) v4 B& J
9.1.1代码交叉引用
( F, z% ~$ Z* A! I9.1.2数据交叉引用# x+ I. |' {! y) r. Q% a
9.1.3交叉引用列表4 I. I4 X( z% N( j; i4 {7 y' f, o
9.1.4函数调用. C+ g8 Y# u# v1 m: U) H: a
9.2IDA绘图
u7 r/ x$ L% ]% y9.2.1IDA外部(第三方)图形
$ f6 _+ A1 e! i, S+ w9.2.2IDA的集成绘图视图3 V0 U" I7 k/ R# q3 ~
9.3小结
3 H$ W/ `! N- L
" g1 k/ |' F0 Q. J% Y第10章 IDA的多种面孔
1 X: B4 Z' s, t$ @/ |+ i5 ^% _3 u6 U! b0 b% L
10.1控制台模式IDA
# l9 d0 @9 I9 x7 Z) T10.1.1控制台模式的共同特性
( e) j5 c, V& I% m10.1.2Windows控制台
/ B S3 G+ f' \8 R. G10.1.3Linux控制台" }/ K/ D' s/ k4 N( {8 ^! p3 k* f
10.1.4OS X控制台
+ o: I8 y. i, B. X) x" u+ i! V10.2使用IDA的批量模式
6 [7 ^8 P! ~" R" d10.3小结
! O0 @' { b% l& }7 ~9 L
2 b& I' B9 h7 N/ k2 ^, h$ Q第三部分 IDA高级应用1 i7 e E" Y( Z# z+ m d
|4 P# k3 g& w# g( M第11章 定制IDA. J6 C. ]: R# g& a7 o) f' z
- x/ x( }$ Z% l; Y8 t+ }9 t
11.1配置文件
4 W% V; B% h' o8 `4 M8 N2 y5 U, h11.1.1主配置文件:ida.cfg/ [4 a( ^& c8 P* z& @6 `) [
11.1.2GUI配置文件:idagui.cfg
& p. ]- m" g6 Q11.1.3控制台配置文件:idatui.cfg( y# R4 S$ {& M% V2 k- {
11.2其他IDA配置选项
: k+ S1 |8 I$ t, m, f3 g5 w: J0 y11.2.1IDA颜色5 _* v# D! d& [* w2 o
11.2.2定制IDA工具栏
" i' s$ w1 r, ~0 R8 [11.3小结
1 f9 p6 z1 X) ^- ~& h T+ G# r! I
- B( C& U" k4 R2 C/ \ T+ A第12章 使用FLIRT签名来识别库
4 v" d8 M2 M, W! T3 h
2 P) H; j9 H8 f7 N* N12.1快速库识别和鉴定技术* x4 T. Z2 Z! f* O5 I) |+ |
12.2应用FLIRT签名
/ ?) R4 {6 H- Y1 {& P% {12.3创建FLIRT签名文件! b3 N9 i# U' o. |
12.3.1创建签名概述4 m: j3 I8 \8 _. S( D* R
12.3.2识别和获取静态库
* a3 h- ?/ z3 T3 T; S( l' ]12.3.3创建模式文件
4 w A1 t# L: V$ ^5 R. H0 J& V12.3.4创建签名文件
+ P+ V7 a$ m- J& {( Y12.3.5启动签名: f; {( A! k# K
12.4小结1 \4 |( g) P }' f. G3 c
6 s$ H6 B& B( t; i( f+ j5 H, V第13章 扩展IDA的知识& n( X b8 _" [. E2 @
6 q% N' J9 R: |3 m$ ^ }' @) t
13.1扩充函数信息7 l4 s3 J6 F/ T) a' j, I1 h
13.1.1IDS文件% \ |/ B# Q" e2 R% i
13.1.2创建IDS文件
5 U, c5 a2 f! K8 Y2 o13.2使用loadint扩充预定义注释
% D5 p* V$ s; \5 s9 d: x13.3小结% c- g* r9 a) H/ W3 X5 M# {
8 ?& ^7 s" J. c! U/ z第14章 修补二进制文件及其他IDA限制
* P: f: u3 G9 g2 }
3 y3 i* X x) i14.1隐藏的补丁程序菜单
$ F# a1 [) N, x3 L14.1.1更改数据库字节
" B6 S$ J0 b( W1 P. y14.1.2更改数据库中的字
' r# i1 t) x. b+ r; p' T2 ]14.1.3使用汇编对话框
# j& J0 Y p# V' B3 n4 H, ]3 N+ _14.2IDA输出文件与补丁生成+ ?8 |9 x0 d1 C# n4 `' q c
14.2.1IDA生成的MAP文件" @9 f' ^+ Y* s: m- D/ B' J2 C+ K
14.2.2IDA生成的ASM文件
& K J/ q, j9 D7 f I& ?14.2.3IDA生成的INC文件4 Y, ~2 [4 O [
14.2.4IDA生成的LST文件6 z b7 c* y0 |; Y
14.2.5IDA生成的EXE文件& m% U8 V2 L; L) L, g/ k9 u
14.2.6IDA生成的DIF文件
. L9 _# G& U0 r14.2.7IDA生成的HTML文件4 g: e% T/ s; P* q
14.3小结; z9 W2 [5 a, t2 s
, l! o& h. v4 X$ G! c- Q" @
第四部分 扩展IDA的功能
% U, r0 L& v* @/ b' K' c/ Q; a B' g
第15章 编写IDA脚本) K! N" a* a) Z
$ A1 a" J+ L0 L6 v" C9 z( W
15.1执行脚本的基础知识
6 S6 K5 V8 x0 m15.2IDC语言6 _0 S4 `3 K# P8 g* i7 ]7 \ A# @
15.2.1IDC变量
2 S x7 e7 ^: g1 g. @15.2.2IDC表达式0 e R3 m* Z3 d# W: P, E
15.2.3IDC语句
4 Y2 S" ]7 r0 _: B15.2.4IDC函数
* y1 H' ]" K" S- d15.2.5IDC对象4 M) o0 ^5 b0 `/ T9 R- X
15.2.6IDC程序* C- N! w+ {' [
15.2.7IDC错误处理4 j2 W& s/ d& s/ d! Q/ e5 h9 a
15.2.8IDC永久数据存储
- s: {# d( R4 _15.3关联IDC脚本与热键 S5 y! T( P6 ]. D5 _
15.4有用的IDC函数' ?- V- j. Q1 f* q& {+ K
15.4.1读取和修改数据的函数
! G J' r$ A! U4 N: y15.4.2用户交互函数
$ g8 ^& f8 Y8 o15.4.3字符串操纵函数
" b8 a- ~2 k u+ k15.4.4文件输入/输出函数
+ f: a I U* R/ e$ e& `- t- K15.4.5操纵数据库名称+ G& k3 [, N: G1 X8 o
15.4.6处理函数的函数. C0 a! s: s a) Z2 g
15.4.7代码交叉引用函数& O/ K5 i% p0 P6 I( I% J
15.4.8数据交叉引用函数% s% e. _" n- ?: I4 S0 x
15.4.9数据库操纵函数9 I$ ?% \7 ~3 o! ~; l; _! m
15.4.10数据库搜索函数
6 L) U5 [, C- `15.4.11反汇编行组件& l! @* J) \& j7 o. N! U# p
15.5IDC脚本示例: s: b. d9 t x; H9 N7 D" F
15.5.1枚举函数
, L. [2 {' X( m8 B: w2 i0 c15.5.2枚举指令) ?& p3 `4 c* [0 [: M+ j
15.5.3枚举交叉引用
0 K1 z* ^% `$ a15.5.4枚举导出的函数
7 e& D0 L5 H0 h9 r15.5.5查找和标记函数参数# U% `- j' Q- O5 [6 W
15.5.6模拟汇编语言行为, R# q5 G7 D u& t: b! I4 s
15.6IDAPython
+ B+ K2 m' A/ E5 I15.7IDAPython脚本示例' u2 n! Z# [3 k
15.7.1枚举函数 H. S9 }% J9 X+ h
15.7.2枚举指令
* C! U) V; m. {& h$ ^" j8 p15.7.3枚举交叉引用! D, i: n% ]* j
15.7.4枚举导出的函数1 F% b7 l7 Z3 L: C) i
15.8小结
; f; r. ]! \6 q( B! P3 C
( k1 h/ c* L# c' k4 b* E第16章 IDA软件开发工具包
! {5 H* z* M# x- L
, D! c8 u2 @9 |! L16.1SDK简介
- g" z% L3 Z8 h7 [16.1.1安装SDK
0 U+ p5 |2 F; B* \16.1.2SDK的布局
+ m/ R9 P1 L# T- Q9 X; ~16.1.3配置构建环境% g. m/ U1 @" Y$ w4 I s! n
16.2IDA应用编程接口
3 [2 Y ? P7 ~16.2.1头文件概述
8 ]7 r$ ~ l# i7 g16.2.2网络节点2 B% h+ W2 X" T
16.2.3有用的SDK数据类型
' g8 `: h# [% R; R/ p9 n: Q16.2.4常用的SDK函数5 [0 h/ F' N5 t2 O2 }" Z6 [
16.2.5IDA API迭代技巧( Q# p- \: ^- o- j
16.3小结$ l% S2 ~8 U O/ P6 B' @
& M# z0 M: c7 E- ^第17章 IDA插件体系结构5 y- s1 @4 e4 j' S$ a
( r* Q- C1 r2 \, ]0 {4 n17.1编写插件
- |' G7 b# t3 R/ W8 b% g17.1.1插件生命周期3 q( a* D7 A8 v- G! v
17.1.2插件初始化
- z3 B* a$ U- K1 }17.1.3事件通知+ F" Y% W% _/ p- j
17.1.4插件执行
& Z+ \, w' F: V, a; V; R) e: V; q9 v17.2构建插件& s! a& T5 j& P2 R$ c$ j$ E
17.3插件安装0 _* W% r* w* m' A7 I
17.4插件配置
7 `! C4 o/ p% a- K; v17.5扩展IDC, u# c6 ?& |& F! s2 ?2 }
17.6插件用户界面选项; O4 G9 d) Y( w' {8 R
17.6.1使用SDK的“选择器”对话框
M, M0 z- m! D2 D17.6.2使用SDK创建自定义表单7 |" ~ X4 b7 _5 R: {
17.6.3仅用于Windows的用户界面生成技巧! ~- p) Z2 N) A
17.6.4使用Qt生成用户界面
" u6 F5 v* R- S- O- y17.7脚本化插件
0 x* L a# H( y17.8小结
' ]3 y6 |1 }1 G: `, _* K. V( d* `, p
第18章 二进制文件与IDA加载器模块
$ d. g6 H+ l p( C7 w6 P$ l* y% f+ G. }) Q
18.1未知文件分析6 ?' g3 T0 j, ~8 o" z
18.2手动加载一个Windows PE文件, ]& d9 R0 x( {4 P$ K
18.3IDA加载器模块
, D C8 [) @! V/ L# J5 |: X18.4使用SDK编写IDA加载器
6 d5 Z: T; A1 T3 j( _18.4.1“傻瓜式”加载器; \/ b0 i. y8 h% A4 d5 E5 i& j, H
18.4.2构建IDA加载器模块4 _6 C" h- D ]+ R, l) R
18.4.3IDA pcap加载器
/ E4 K% P" T4 f) l18.5其他加载器策略
( v! ?" o! R8 U2 h18.6编写脚本化加载器) y5 _3 M: D" v% {% ^
18.7小结
* V$ A3 u! I: t" N" _
]$ }8 h1 Z8 S$ W第19章 IDA处理器模块
$ y$ @ I( }4 A: y1 ]1 o W. w. x, u1 A
19.1Python字节码; d/ X6 @* p, @4 G
19.2Python解释器8 g; N8 w( O1 b4 ?! K
19.3使用SDK编写处理器模块
2 e8 m& b+ U1 _- u4 U19.3.1processor_t结构体
9 I7 F4 G6 p2 p* p- I* u+ }19.3.2LPH 结构体的基本初始化
; l; r; h. S+ I" M" D) b19.3.3分析器
1 b1 f# T! f* t& {" g& X T19.3.4模拟器( D6 K9 D3 {+ r; y
19.3.5输出器
6 T& q' `+ L; N+ e# G) V6 M- U, @# ?5 G19.3.6处理器通知
; K% o4 b! n( C0 D! U/ }5 h19.3.7其他processor_t成员
" ^ @) r6 [4 E/ |' j19.4构建处理器模块
g0 r: f5 u8 r' J; v19.5定制现有的处理器2 C6 [& k4 K( Y8 R, k
19.6处理器模块体系结构
8 o& l& c7 ^) B19.7编写处理器模块) n7 N0 E/ f. f5 g& Y+ E1 X
19.8小结
. k+ q7 O0 N: z2 X% E, t' O
6 L9 l$ X7 A, ]' X/ n) N+ y2 ]第五部分 实际应用
; g! K3 ]! o" o- L$ u( l r6 i2 D4 G3 g
第20章 编译器变体
+ K1 c' ?: J; k6 J, J' W( S! F: u$ q1 k
20.1跳转表与分支语句
7 n' I E5 X( m' A( e( F9 m20.2RTTI实现2 p) M( z5 k% ]; z) u/ |# k
20.3定位main函数
- Q* ^! k/ @+ ?1 s6 n8 }# L9 O20.4调试版与发行版二进制文件* S K1 c# \9 }; ^6 D
20.5其他调用约定% E9 \* n' I7 M% _' S' ^- ?' w
20.6小结
* y" o& p0 {: f. h4 N9 h
) d' w9 M' k5 v, M第21章 模糊代码分析
6 a% y5 l% M v* n" X9 X5 }0 e4 `" _: p b3 a0 X& u' R
21.1反静态分析技巧
0 n; U7 z; ^& n$ z% a6 \3 E21.1.1反汇编去同步% c% d1 x4 q$ p, k; v
21.1.2动态计算目标地址) R& v" W$ \9 Z" v. n+ }
21.1.3导入的函数模糊
$ G& O7 i9 s6 v6 [/ {21.1.4有针对性地攻击分析工具0 b7 s( ^ q: V% @1 V |
21.2反动态分析技巧0 }8 R1 x& D! m* t5 v
21.2.1检测虚拟化6 p2 m- l! j6 W& J. h& }6 l
21.2.2检测“检测工具”9 X2 d4 d! Y8 I( P) n8 o1 }
21.2.3检测调试器1 a$ W I( B) _: y5 Y2 a* m
21.2.4防止调试
) V+ l3 d, K3 ^1 ^ u. C21.3使用IDA对二进制文件进行“静态去模糊” F% s* X, i) B' n: m
21.3.1面向脚本的去模糊
1 X# V5 I* z# o9 M7 i6 s21.3.2面向模拟的去模糊5 L( c+ R4 J4 q5 c; F: O
21.4基于虚拟机的模糊 W/ E d+ U) Q$ y2 A2 t
21.5小结
/ D" D7 W# H4 d# h5 `- c. R4 E# O" p+ m, v
第22章 漏洞分析
5 _, e a8 w1 ]$ C. ^1 x+ }
5 m; B, ?' m5 g0 a# l1 T22.1使用IDA发现新的漏洞$ U8 h/ D0 H, x( p6 [
22.2使用IDA在事后发现漏洞7 Z) E5 m% L, i! R4 \5 R |% z
22.3IDA与破解程序开发过程5 u; p8 q) H# W* G
22.3.1栈帧细目
( F' T& w5 N: f) J9 c5 P22.3.2定位指令序列- f! u) ~3 n; a6 p; z
22.3.3查找有用的虚拟地址
8 B! M* N1 e) h& x! [$ M22.4分析shellcode- g% ]% s9 V0 S d8 z2 y
22.5小结* G( Z* i m) d. p4 O, W7 N
: ^; k5 l) S& K$ ]' z
第23章 实用IDA插件8 H+ L0 z+ d3 S8 u8 }+ U) Q5 P
$ {$ P6 }: w d. @23.1Hex-Rays5 D9 c7 }4 |/ d
23.2IDAPython
* ^" ~* u8 L* B3 \& \( o2 m23.3collabREate: X+ e9 X" k- ~1 I- a: Q% L
23.4ida-x86emu: n. H; P0 B$ \6 {- o; N5 U
23.5Class Informer
& K' ~0 @) n9 g* v23.6MyNav* J* _4 o$ j" c7 O/ c1 H4 F
23.7IdaPdf7 H/ b, Y4 c- v
23.8小结
5 O* ~# ~" r) h. B3 _ Q2 m: M2 s- I
第六部分 IDA调试器
$ E7 ^8 R/ m6 X( ]; K1 ]$ _" Q1 `8 U; ]: O1 i+ a3 j' k( Y
第24章 IDA调试器
r6 _+ L7 Z$ n8 C& z" _, t
- l, f% d$ z1 W7 x3 B24.1启动调试器
% r' D* H `3 l! S0 ^24.2调试器的基本显示& Y1 i3 ?2 H6 f# j/ T8 @
24.3进程控制* N. y* Z6 x& ?( `
24.3.1断点0 P: K9 D4 u' ^8 B/ `2 P& K# Z$ A! @" n
24.3.2跟踪. @& U/ M9 ?! z' o& N e7 l# b
24.3.3栈跟踪
$ ~% m0 D) d& o0 i" i$ Q# U24.3.4监视
" N$ u7 x0 |% X& g! O. @24.4调试器任务自动化9 E" _) l8 x+ r" f S9 _6 K
24.4.1为调试器操作编写脚本 {/ ~. b9 g8 }' z. ^7 g
24.4.2使用IDA插件实现调试器操作自动化 {/ H9 Z. I& N0 Q4 m- s
24.5小结
1 O" x. V( O* ` V! K# i+ s) } j
7 }7 Z. P/ U! s8 P% I& a; d第25章 反汇编器/调试器集成2 y$ Z8 w6 Y/ n6 r) K% P9 V
3 g0 N# _" w; ? E0 V9 ], \25.1背景知识
6 s% Q5 p2 T1 q/ X! j# V5 A# `+ t25.2IDA数据库与IDA调试器- a) }( g2 c) D! \- D4 O
25.3调试模糊代码
) _: [$ Y. M* B2 ?# J25.3.1启动进程! y( |: n$ g* C7 ^2 q& V3 m6 i& M/ A
25.3.2简单的解密和解压循环
3 T* q$ K8 K/ y- S25.3.3导入表重建
$ o' S6 m$ ~) D* Z/ }25.3.4隐藏调试器
6 a$ i) r* o2 N j# d25.4IDAStealth
! D0 t: a) r" R" T8 e0 u! f25.5处理异常
& n! V& L6 E4 u25.6小结
6 z: e6 Y* K5 {: h, G3 V5 B0 I9 U$ H& @* a
第26章 其他调试功能
& T5 |6 [2 g; P+ { h! @# f. W8 q8 O8 Y1 `# n
26.1使用IDA进行远程调试
+ n; v& O2 G, q" \26.1.1使用Hex-Rays调试服务器* R E" L; h/ j$ v/ ?, w6 @9 x. \
26.1.2连接到远程进程
- B% l8 e5 l/ V" q26.1.3远程调试期间的异常处理
# ?- z% e& p: |: `26.1.4在远程调试过程中使用脚本和插件
6 N6 j# X' {# h1 v# ~& x$ w26.2使用Bochs进行调试
6 D9 a/ a/ n! Y& F. Q26.2.1Bochs IDB模式- m& H( a: d" B0 L5 {% Z$ b/ O
26.2.2Bochs PE模式
/ G1 s) @4 ^! O( F) N26.2.3Bochs磁盘映像模式
2 r; X3 k3 N& j/ }26.3Appcall
& \' q( |* k, F& L: W8 g26.4小结7 |5 s4 R Q4 I
5 B; i- @4 k0 x& K9 B/ F
附录A使用IDA免费版本5.0
; Y& M3 p* ~5 F/ f8 T7 O. j$ R- j7 i' h3 S4 f; G4 _+ m
附录BIDC/SDK交叉引用
2 l* @# E9 i* u# _' F; C, w# t" L9 J7 [$ x& x
|
|
( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)
狗仔卡
发表于 2016-11-12 17:58:21
置顶卡
千斤顶
显身卡
发表于 2017-6-15 15:01:15
