逆向工程核心原理

致親愛的中國讀者：

你們好 ！我是《逆向工程核心原理》 做者 李承遠(ReverseCore)。

(韓文博客地址：www.reversecore.com)

首先，很高興個人《逆向工程核心原理》-書在中國IT強國出版。我之前是C/C++開發工程師，後來有機會加入安全公司並從事惡意代碼分析工做，今後開始對逆向技術進行深刻研究。熟悉逆向技術就能輕鬆瞭解程序內部結構，這讓我逐漸沉醉於逆向技術的魅力。因此想與你們分享我所知的逆向技術知識，這就是本書的緣起。
《逆向工程核心原理》這本書是針對初學者而寫的，本書爲各位提供了不少實際調試過程的截圖、源代碼、示例文件等，可以幫助理解。本書於2012年9月在韓國上市後不少學校、IT培訓班以及安全公司的新職員惡意代碼分析培訓等都在使用此書。讀完這本書後但願全部讀者都能成爲一名優秀的逆向分析專家。

書中全部示例文件均爲正常代碼，部分示例文件使用程序的殼、反調試等技術可能會被部分殺毒軟件誤報爲病毒。各位沒必要對此感到擔憂，請放心使用。

注意事項：

1.示例文件使用的UPack殼可能會被殺毒軟件診斷爲病毒，Upack 殼對PE結構總體進行必定修改以達到最大壓縮率，因此Upack殼也經常使用於不少病毒木馬使用。所以，大部分殺毒軟件也有可能把Upack殼自己診斷爲病 毒。然而PE文件相關講解中，UPack之類的優秀示例較少，因此爲了詳細介紹逆向技術，書中忽略殺毒軟件診斷規範。

2.「高級逆向」、」反調試」 技術示例文件可能會被診斷爲病毒。示例文件中使用的技術與部分病毒使用的技術相似，所以，反病毒產品啓發式引擎（啓發式技術=啓發式掃描+啓發式監控）會檢測到特徵碼，從而把示例文件診斷爲病毒。

3.部分示例文件使用反調試SHE,TLS 回調等技術，這些技術可能會被殺毒公司自動化系統診斷爲病毒。但請你們放心，示例文件都是正常。

4.簡單介紹一下惡意代碼基本含義。惡意代碼是指未通過用戶許可的狀況下，在用戶計算機或其它終端安裝運行收集用戶信息、泄漏用戶信息等有惡意行爲的軟件。示例文件中所有都是以學習研究反調爲目的而使用到的一些特定技術並沒有惡意行爲。

5.鑑於其餘殺毒軟件的診斷，各位調試示例樣本時最好暫時關閉殺毒軟件的"實時監控」功能，調試學習結束後，再開啓。

6.Windows7環境下調試時，建議關閉UAC（User Access Control）功能以便調試。

源代碼 

* 全部示例文件源代碼均使用 MS Visual C++ Express 2010工具開發而成。

* 編譯後的文件根據用戶環境而略有差別。

* 爲便與調試，請使用如下源代碼。

* 下載地址  : http://pan.baidu.com/s/1qWFI6xm

* 解壓密碼  :reversecore

 

 

實踐示例代碼

 

* example_ex.zip文件雙重壓縮是爲了不殺毒軟件的實時掃描。
* 第五部分「64位&Windows Kernel 6」中的示例文件須要在Windows XP/Vista/7 64位系統中運行。
* 其他全部示例文件都可在MS Windows XP SP3 32位&Windows 7 32位系統中實現。
* 下載地址 :http://pan.baidu.com/s/1qWFI6xm 雙重壓縮（第一次解壓會看到exsample.zip,再次解壓exsample.zip文件便可）
* 解壓密碼 :reversecore

 

附加：惡意代碼分析相關工具大全以及惡意代碼檢測網站：chichoo博客 -> http://blog.csdn.net/chichoo/article/details/23352431

 *沒法下載或者對殺毒軟件診斷有疑問請留言。

《逆向工程核心原理》討論QQ羣： 338185175