19.2.1解除代码混淆……395 第21章调试与反汇编恶意软件…416 19.3黑盒方法……397 19.4虚拟机牢笼-……398 21.1用调试器反监视……416 19.5总结…399 21.1.1时间也会留下印记……416 21.1.2进程树……418 第20章攻克Linux与BSD打包器……400 21.1.3查看线程……420 20.1打包器对性能的影响……400 21.1.4恢复系统服务表……426 20.2 ELFCrypt …401 21.2攻击程序的核查与反汇编…430 20.3UPX……408 21.2.1如何反汇编攻击程序……431 20.4 Bumeye.410 21.2.2分析消息排队攻击程序……432 20.5 Shiva…- ……413 21.2.3如何在调试器下运行外壳码…443 20.6打包器的比较…414 21.3总结……444 20.7总结… ……415 脂圣 PDG ·XI· 溜客安全网WwW.176Ku.CoM
PART 第一篇 黑客工具介绍 ■第1章携黑客工具启程 ■第2章UNIX黑客工具 ■第3章调试器与仿真器的仿真 ■第4章汇编器入门 PDG 溜客安全网WwW.I76Ku.CoM
CHAPTER 第1章携黑客工具启程 黑客事务是门外汉无法插足的领域,立志成为黑客军团的一员,首先必须学习C/C+编程语言, 掌握汇编语言,理解现代微处理器的工作原理以及Windows和UNIX操作系统的体系结构,学习 如何快速反汇编机器代码,等等。换句话说,通往黑客军团营地的是一条丛林密布的漫漫长路,逻 辑陷阱、比特尖楔与圈套遍布其间,要是没有向导引路,几乎是难以逾越的。不过书是最好的老师, 你需要找很多书来看,本书也包括在内。我推荐一个相关的书、手册与其他参考文献的清单,放在 本书的网站资源中,目录为PART_01\CH0 1\SUPPLEMENTARY。其中列出了一些必读书目和可以 得到的最佳资源。 现在,就该为自己收集必需的黑客装备了!黑客,其实也是辛勤劳作的代名词,他们一直在用 脑子和双手埋头苦编代码。不过,专用程序使新手在进行黑客操作时保持清晰的思路,从而由代码 苦力迈出了第一步。问题在于,这类程序如此众多,任何初次访问黑客网站的新手不可避免地会迷 失方向。通常,新手无法确定自己需要什么以及什么对自己没有用处。本章简要给出黑客软件的概 况,可以大致满足各位黑客的需要。 1.1调试器 无论在何时何地,SoftICE作为Windows平台事实上的调试标准,都算得上是最好的调试工具, 当然也堪当任何黑客的首选。几代黑客人都是这么认为的,也是这么选择的。SoftICE是一种具有 高级命令接口的交互式工具(如图11所示)。它在易学和好用两方面进行了平衡。换句话说,阅 读SoftICE手册很有必要,因为SoftICE没有向用户提供任何Turbo Debugger样式的直观菜单。 SoftICE起初是由NuMega创建的,但是后来卖给了Compuware。Compuware将SofICE作为 庞大的DriverStudio构架的一部分进行部署。遗憾的是,2006年4月3日,该公司宜布,由于“一 系列技术、商业与市场因素”,公司已经停止对这个成为绝版的软件项目提供支持。然而,对于黑 客来说,这不是一个令人满意的理由。 本产品的最后一版DriverStudio3.2,支持全部Windows操作系统版本系列(直到Windows PDG Server2003)与AMDx86-64体系。这意味着,SoftICE在未来大约5年左右的时间里还能用于调 溜客安全网WwW.I76Ku.CoM
第1章携黑客工具启程 试,5年以后,黑客们就不得不发明点别的什么了。 D PTR EEDP+1C1 G0 图1.1 SoftICE是面向专业人士的调试器 在e-Donkey或者任何其他黑客网站(例如,http:/www.woodmann..com/crackz/Tools.htm)上, 你都可以找到SoftICE,随SoftICE一起,还应同时安装IceExt(http:///sourceforge,.net/projects/iceext) 一SofICE的一个非官方扩展软件,它可以隐藏起调试器使之在大多数保护机制的视野里消失, 还可以保存内存转储(如图12所示),挂起线程以及执行许多其他操作。 溶 的 PDG 图1.2使用1 ceExt保存转储内容 3 溜客安全网WwW.I76Ku.CoM
黑客反汇编揭秘(第二版)》 如果IceExt不能成功启动,请在注册表中找到注册关键字HKLM\SYSTEM\Current ControlSet\Services\NTice下的KDHeapsize与KDStacksize DWORD设置项,并将它 们分别设置为KDHeapSize(DWORD):0x8000与KDStacksize(DWORD):0x8000。 IceDump(http://programmerstools..org/system/mles?le-icedump6.026.zip)是SoftICE的另一 个非官方扩展软件,它可以执行许多有用的操作,是对IceExt功能的合理补充(如图1.3所示)。 0100 4:302的 018:0040101C306040G0E30500-000059C30 001B:00401001PU5H 000600 图1.3使用IceDump保存转储 顺便提一下,SoftICE在VMware虚拟机上的运行效果不错。要让SoftICE在VMware虚拟机上 运行,只要在VMX-file文件中加入如下两行就行了:paevm-=TRUE与processor1.use=FALSE。 有报道说,在多处理器配置和超线程处理器平台上运行SoftICE会出现一些问题。这样的问题可以 通过在boot.ini文件中加入/ONECPU选项来消除。 除SoftICE以外,还有其他一些调试器可用。其中,免费的OIy调试器或者OllyDbg (http:lwww.ollydbg.de)特别值得一提(如图1.4所示)。 OllyDbg是一个便捷的面向黑客的应用程序级调试器。它支持插件机制,因为这个原因,黑客 们共同开发了许多优良的扩展件与添加件,使OllyDbg在保护机制的视野中隐匿行迹,自动确定打 包程序的原始入口位置,简化保护机制的消除过程,等等。 可以在http:lwww,openrce,.org上找到大量的OllyDbg插件集。 Syser(http:/www.sysersoft.com)是最新的(在许多方面仍然是实验性的)内核调试器。这是 DG 由中国的开发人员发布的,并且在迅速发展之中(如图1.5所示)。 溜客安全网WwW.I76Ku.CoM