C++反汇编和逆向分析技术揭秘资料合集.rar

第一部分 准备工作 1 第1章 熟悉工作环境和相关工具 2 1.1调试工具Microsoft Visual C++ 6和OllyDBG 2 1.2反汇编静态分析工具IDA 5 1.3反汇编引擎的工作原理 9 1.4小结 16 第二部分 C++反汇编揭秘 17 第2章 基本数据类型的表现形式 18 2.1 整数类型 18 2.1.1 无符号整数 18 2.1.2 有符号整数 18 2.2 浮点数类型 19 2.2.1 浮点数的编码方式 20 2.2.2 浮点基本指令介绍 22 2.3 字符和字符串 26 2.3.1 字符的编码 26 2.3.2 字符串的存储方式 27 2.4 布尔类型 28 2.5 地址、指针和引用 28 2.5.1 指针和地址的区别 29 2.5.2 各类型指针的工作方式 29 2.5.3 引用 34 2.6 常量 35 2.6.1 常量的定义 36 2.6.2 #define和const的区别 36 2.7 小结 38 第3章 认识启动函数，找到用户入口 39 3.1程序的真正入口 39 3.2了解VC++6.0的启动函数 39 3.3 main函数的识别 44 3.4 小结 46 第4章 观察各种表达式的求值过程 47 4.1算术运算和赋值 47 4.1.1各种算术运算的工作形式 47 4.1.2算术结果溢出 85 4.1.3再论自增和自减 86 4.2关系运算和逻辑运算 88 4.2.1关系运算和条件跳转的对应 88 4.2.2表达式短路 89 4.2.3条件表达式 92 4.3位运算 96 4.4编译器使用的优化技巧 99 4.4.1流水线优化规则 102 4.4.2分支优化规则 105 4.4.3 cache优化规则 106 4.5一次算法逆向之旅 106 4.6 本章小结 116 第5章 流程控制语句的识别 117 5.1 if语句 117 5.2 if…else…语句 119 5.3 用if构成的多分支流程 123 5.4 switch的真相 128 5.5 难以构成跳转表的switch 139 5.6 降低判定树的高度 144 5.7 do/while/for的比较 149 5.8 编译器对循环结构的优化 156 5.9 本章小结 161 第6章 函数的工作原理 162 6.1栈帧的形成和关闭 162 6.2各种调用方式的考察 165 6.3使用ebp或esp寻址 170 6.4函数的参数 174 6.5函数的返回值 177 6.6 回顾 181 6.7 本章小结 182 第7章 变量在内存中的位置和访问方式 183 ………… 篇幅有限，部分内容省略………… 12.3 虚基类 339 12.4 菱形继承 341 12.5本章小结 349 第13章 异常处理 351 13.1异常处理的相关知识 351 13.2异常类型为基本数据类型的处理流程 358 13.3异常类型为对象的处理流程 369 13.4识别异常处理 375 13.5本章小结 389 第三部分 逆向分析技术应用 391 第14章 PEiD的工作原理分析 391 14.1 开发环境的识别 391 14.2 开发环境的伪造 401 14.3 本章小结 405 第15章 “熊猫烧香”病毒逆向分析 406 15.1 调试环境配置 406 15.2 病毒程序初步分析 407 15.3 “熊猫烧香”的启动过程分析 410 15.4 “熊猫烧香”的自我保护分析 416 15.5 “熊猫烧香”的感染过程分析 419 15.6 小结 431 第16章 分析调试器OllyDBG的工作原理 432 16.1 INT3断点 432 16.2 内存断点 437 16.3 硬件断点 443 16.4 异常处理机制 450 16.5 加载调试程序 458 16.6 小结 462 第17章 反汇编代码的重建与编译 463 17.1 重建反汇编代码 463 17.2 编译重建后的反汇编代码 466 17.3 小结 468