致親愛的中國讀者:
大家好 !我是《逆向工程核心原理》 作者 李承遠(ReverseCore)。
(韓文博客地址:www.reversecore.com)
首先,很高興我的《逆向工程核心原理》-書在中國IT強國出版。我以前是C/C++開發工程師,后來有機會加入安全公司並從事惡意代碼分析工作,從此開始對逆向技術進行深入研究。熟悉逆向技術就能輕松了解程序內部結構,這讓我逐漸沉醉於逆向技術的魅力。所以想與大家分享我所知的逆向技術知識,這就是本書的緣起。
《逆向工程核心原理》這本書是針對初學者而寫的,本書為各位提供了很多實際調試過程的截圖、源代碼、示例文件等,能夠幫助理解。本書於2012年9月在韓國上市后很多學校、IT培訓班以及安全公司的新職員惡意代碼分析培訓等都在使用此書。讀完這本書后希望所有讀者都能成為一名優秀的逆向分析專家。
書中所有示例文件均為正常代碼,部分示例文件使用程序的殼、反調試等技術可能會被部分殺毒軟件誤報為病毒。各位不必對此感到擔心,請放心使用。
注意事項:
1.示例文件使用的UPack殼可能會被殺毒軟件診斷為病毒,Upack 殼對PE結構整體進行一定修改以達到最大壓縮率,所以Upack殼也常用於很多病毒木馬使用。因此,大部分殺毒軟件也有可能把Upack殼本身診斷為病 毒。然而PE文件相關講解中,UPack之類的優秀示例較少,所以為了詳細介紹逆向技術,書中忽略殺毒軟件診斷規范。
2.“高級逆向”、”反調試” 技術示例文件可能會被診斷為病毒。示例文件中使用的技術與部分病毒使用的技術類似,因此,反病毒產品啟發式引擎(啟發式技術=啟發式掃描+啟發式監控)會檢測到特征碼,從而把示例文件診斷為病毒。
3.部分示例文件使用反調試SHE,TLS 回調等技術,這些技術可能會被殺毒公司自動化系統診斷為病毒。但請大家放心,示例文件都是正常。
4.簡單介紹一下惡意代碼基本含義。惡意代碼是指未經過用戶許可的情況下,在用戶計算機或其它終端安裝運行收集用戶信息、泄漏用戶信息等有惡意行為的軟件。示例文件中全部都是以學習研究反調為目的而使用到的一些特定技術並無惡意行為。
5.鑒於其他殺毒軟件的診斷,各位調試示例樣本時最好暫時關閉殺毒軟件的"實時監控”功能,調試學習結束后,再開啟。
6.Windows7環境下調試時,建議關閉UAC(User Access Control)功能以便調試。
源代碼
* 所有示例文件源代碼均使用 MS Visual C++ Express 2010工具開發而成。
* 編譯后的文件根據用戶環境而略有差異。
* 為便與調試,請使用以下源代碼。
* 下載地址 : http://pan.baidu.com/s/1qWFI6xm
* 解壓密碼 :reversecore
實踐示例代碼
* example_ex.zip文件雙重壓縮是為了避免殺毒軟件的實時掃描。
* 第五部分“64位&Windows Kernel 6”中的示例文件需要在Windows XP/Vista/7 64位系統中運行。
* 其余所有示例文件均可在MS Windows XP SP3 32位&Windows 7 32位系統中實現。
* 下載地址 :http://pan.baidu.com/s/1qWFI6xm 雙重壓縮(第一次解壓會看到exsample.zip,再次解壓exsample.zip文件即可)
* 解壓密碼 :reversecore
附加:惡意代碼分析相關工具大全以及惡意代碼檢測網站:chichoo博客 -> http://blog.csdn.net/chichoo/article/details/23352431
*無法下載或者對殺毒軟件診斷有疑問請留言。
《逆向工程核心原理》討論QQ群: 338185175