致亲爱的中国读者:
大家好 !我是《逆向project核心原理》 作者 李承远(ReverseCore)。
(韩文博客地址:www.reversecore.com)
首先。非常高兴我的《逆向project核心原理》-书在中国IT强国出版。我曾经是C/C++开发project师。后来有机会增加安全公司并从事恶意代码分析工作。从此開始对逆向技术进行深入研究。熟悉逆向技术就能轻松了解程序内部结构,这让我逐渐沉醉于逆向技术的魅力。所以想与大家分享
我所知的逆向技术知识。这就是本书的缘起。
《逆向project核心原理》这本书是针对刚開始学习的人而写的,本书为各位提供了非常多实际调试过程的截图、源码、演示样例文件等。可以帮助理解。本书于2012年9月在韩国上市后非常多学校、IT培训班以及安全公司的新职员恶意代码分析培训等都在使用此书。读完这本书后希望全部读者都能成为一名优秀的逆向分析专家。
书中全部演示样例文件均为正常代码,部分演示样例文件使用程序的壳、反调试等技术可能会被部分杀毒软件误报为病毒。各位不必对此感到操心。请放心使用。
注意事项:
1.演示样例文件使用的UPack壳可能会被杀毒软件诊断为病毒。Upack 壳对PE结构总体进行一定改动以达到最大压缩率,所以Upack壳也经常使用于非常多病毒木马使用。因此。大部分杀毒软件也有可能把Upack壳本身诊断为病毒。
然而PE文件相关解说中,UPack之类的优秀演示样例较少,所以为了具体介绍逆向技术,书中忽略杀毒软件诊断规范。
2.“高级逆向”、”反调试” 技术演示样例文件可能会被诊断为病毒。演示样例文件里使用的技术与部分病毒使用的技术类似,因此。反病毒产品启示式引擎(启示式技术=启示式扫描+启示式监控)会检測到特征码,从而把演示样例文件诊断为病毒。
3.部分演示样例文件使用反调试SHE,TLS 回调等技术,这些技术可能会被杀毒公司自己主动化系统诊断为病毒。但请大家放心,演示样例文件都是正常。
4.简介一下恶意代码基本含义。恶意代码是指未经过用户许可的情况下,在用户计算机或其他终端安装执行收集用户信息、泄漏用户信息等有恶意行为的软件。演示样例文件里所有都是以学习研究反调为目的而使用到的一些特定技术并无恶意行为。
5.鉴于其它杀毒软件的诊断。各位调试演示样例样本时最好临时关闭杀毒软件的"实时监控”功能,调试学习结束后。再开启。
6.Windows7环境下调试时。建议关闭UAC(User Access Control)功能以便调试。
源码
* 全部演示样例文件源码均使用 MS Visual C++ Express 2010工具开发而成。
* 编译后的文件依据用户环境而略有差异。
* 为便与调试,请使用下面源码。
* 下载地址 : http://pan.baidu.com/s/1qWFI6xm
* 解压password :reversecore
实践演示样例代码
* example_ex.zip文件双重压缩是为了避免杀毒软件的实时扫描。
* 第五部分“64位&Windows Kernel 6”中的演示样例文件须要在Windows XP/Vista/7 64位系统中执行。
* 其余全部演示样例文件均可在MS Windows XP SP3 32位&Windows 7 32位系统中实现。
* 下载地址 :http://pan.baidu.com/s/1qWFI6xm 双重压缩(第一次解压会看到exsample.zip,再次解压exsample.zip文件就可以)
* 解压password :reversecore
附加:恶意代码分析相关工具大全以及恶意代码检測站点:chichoo博客 -> http://blog.csdn.net/chichoo/article/details/23352431
*无法下载或者对杀毒软件诊断有疑问请留言。
《逆向project核心原理》讨论QQ群: 338185175
版权声明:本文博客原创文章,博客,未经同意,不得转载。