天書夜讀：從匯編語言到Windows內(nèi)核編程

入手篇  熟悉匯編
本書的第一部分，將幫助讀者消除對匯編的恐懼，熟悉匯編。本部分包括第1~3章。稍顯枯燥的是，它們和Windows內(nèi)核無關(guān)，是純C語言與匯編語言的關(guān)系的章節(jié)。如果讀者已經(jīng)精通匯編語言，并能順利閱讀匯編代碼，請直接跳過本部分。
第1章  匯編指令與C語言 2
1.1  上機(jī)建立第一個(gè)工程 4
1.1.1  用Visual Studio創(chuàng)建工程 4
1.1.2  用Visual Studio查看匯編代碼 5
1.2  簡要復(fù)習(xí)常用的匯編指令 6
1.2.1  堆棧相關(guān)指令 6
1.2.2  數(shù)據(jù)傳送指令 7
1.2.3  跳轉(zhuǎn)與比較指令 8
1.3  C函數(shù)的參數(shù)傳遞過程 9
第2章  C語言的流程和處理 14
2.1  C語言的循環(huán)反匯編 15
2.1.1  for循環(huán) 15
2.1.2  do循環(huán) 16
2.1.3  while循環(huán) 17
2.2  C語言判斷與分支的反匯編 18
2.2.1  if-else判斷分支 18
2.2.2  switch-case判斷分支 19
2.3  C語言的數(shù)組與結(jié)構(gòu) 22
2.4  C語言的共用體和枚舉類型 24
第3章  練習(xí)反匯編C語言程序 26
3.1  算法的反匯編 27
3.1.1  算法反匯編代碼分析 27
3.1.2  算法反匯編閱讀技巧 28
3.2  發(fā)行版的反匯編 29
3.3  匯編反C語言練習(xí) 33
基礎(chǔ)篇  內(nèi)核編程
本書的第二部分，是編寫Windows內(nèi)核程序編程方法的基礎(chǔ)。本部分包括第4~7章，如果讀者對Windows內(nèi)核編程已經(jīng)有一定的了解，可以跳過本部分；如果讀者從未接觸過Windows內(nèi)核編程，本部分將指導(dǎo)讀者開始Windows內(nèi)核編程，學(xué)會使用WDK，并熟悉內(nèi)核編程的習(xí)慣與方法。
第4章  內(nèi)核字符串與內(nèi)存 38
4.1  字符串的處理 39
4.1.1  使用字符串結(jié)構(gòu) 39
4.1.2  字符串的初始化 41
4.1.3  字符串的拷貝 42
4.1.4  字符串的連接 42
4.1.5  字符串的打印 43
4.2  內(nèi)存與鏈表 45
4.2.1  內(nèi)存的分配與釋放 45
4.2.2  使用LIST_ENTRY 46
4.2.3  使用長長整型數(shù)據(jù) 49
4.2.4  使用自選鎖 50
第5章  文件與注冊表操作 52
5.1  文件操作 53
5.1.1  使用OBJECT_ATTRIBUTES 53
5.1.2  打開和關(guān)閉文件 54
5.1.3  文件讀/寫操作 58
5.2  注冊表操作 60
5.2.1  注冊表鍵的打開 60
5.2.2  注冊表值的讀 62
5.2.3  注冊表值的寫 65
第6章  時(shí)間與線程 67
6.1  時(shí)間與定時(shí)器 68
6.1.1  獲得當(dāng)前滴答數(shù) 68
6.1.2  獲得當(dāng)前系統(tǒng)時(shí)間 69
6.1.3  使用定時(shí)器 70
6.2  線程與事件 73
6.2.1  使用系統(tǒng)線程 73
6.2.2  在線程中睡眠 75
6.2.3  使用同步事件 76
第7章  驅(qū)動(dòng)、設(shè)備與請求 79
7.1  驅(qū)動(dòng)與設(shè)備 80
7.1.1  驅(qū)動(dòng)入口與驅(qū)動(dòng)對象 80
7.1.2  分發(fā)函數(shù)和卸載函數(shù) 80
7.1.3  設(shè)備與符號鏈接 82
7.1.4  設(shè)備的安全創(chuàng)建 83
7.1.5  設(shè)備與符號鏈接的用戶相關(guān)性 85
7.2  請求處理 86
7.2.1  IRP與IO_STACK_LOCATION 86
7.2.2  打開與關(guān)閉請求的處理 88
7.2.3  應(yīng)用層信息傳入 89
7.2.4  驅(qū)動(dòng)層信息傳出 91
探索篇  研究內(nèi)核
本書的第三部分，開始探索Windows內(nèi)核程序，并嘗試閱讀反匯編代碼作為指引。本部分包括第8~10章。如果讀者對Windows內(nèi)核編程已經(jīng)有一定的了解，這一部分會比較有趣；如果讀者從未接觸過Windows內(nèi)核編程，讀者應(yīng)該先學(xué)習(xí)第二部分。能自己編寫內(nèi)核程序并不意味著可以讀懂內(nèi)核，雖然反過來是一定成立的。讀懂別人編寫的沒有代碼的程序，比自己編寫更困難一些，但的確是值得的。
第8章  進(jìn)入Windows內(nèi)核 96
8.1  開始Windows內(nèi)核編程 97
8.1.1  內(nèi)核編程的環(huán)境準(zhǔn)備 97
8.1.2  用C語言寫一個(gè)內(nèi)核程序 99
8.2  學(xué)習(xí)用WinDbg進(jìn)行調(diào)試 102
8.2.1  軟件的準(zhǔn)備 102
8.2.2  設(shè)置Windows XP調(diào)試執(zhí)行 103
8.2.3  設(shè)置VMWare虛擬機(jī)調(diào)試 104
8.2.4  設(shè)置被調(diào)試機(jī)為Vista的情況 105
8.2.5  設(shè)置Windows內(nèi)核符號表 106
8.2.6  調(diào)試?yán)觗iskperf 106
8.3  認(rèn)識內(nèi)核代碼函數(shù)調(diào)用方式 107
8.4  嘗試反寫C內(nèi)核代碼 111
8.5  如何在代碼中尋找需要的信息 113
第9章  用C++編寫的內(nèi)核程序 117
9.1  用C++開發(fā)內(nèi)核程序 118
9.1.1  建立一個(gè)C++的內(nèi)核工程 118
9.1.2  使用C接口標(biāo)準(zhǔn)聲明 119
9.1.3  使用類靜態(tài)成員函數(shù) 120
9.1.4  實(shí)現(xiàn)new操作符 121
9.2  開始閱讀一個(gè)反匯編的類 122
9.2.1  new操作符的實(shí)現(xiàn) 122
9.2.2  構(gòu)造函數(shù)的實(shí)現(xiàn) 124
9.3  了解更多的C++特性 126
第10章  繼續(xù)探索Windows內(nèi)核 131
10.1  探索Windows已有內(nèi)核調(diào)用 132
10.2  自己實(shí)現(xiàn)XP的新調(diào)用 135
10.2.1  對照調(diào)試結(jié)果和數(shù)據(jù)結(jié)構(gòu) 135
10.2.2  寫出C語言的對應(yīng)代碼 137
10.3  沒有符號表的情況 138
10.4  64位操作系統(tǒng)下的情況 141
10.4.1  分析64位操作系統(tǒng)的調(diào)用 143
10.4.2  深入了解64位內(nèi)核調(diào)用參數(shù)傳遞 145
深入篇  修改內(nèi)核
這是本書的第四部分。讀者已經(jīng)嘗試過探索Windows內(nèi)核程序，并嘗試閱讀反匯編代碼。那么接下來，必須掌握修改內(nèi)核的方法。每一個(gè)Windows內(nèi)核程序，都可以看做Windows內(nèi)核本身的一個(gè)“補(bǔ)丁”。有時(shí)只需要獨(dú)立存在，就能起到它的作用；有時(shí)卻必須對已有的內(nèi)核二進(jìn)制代碼進(jìn)行部分修改。本部分包括第11~13章，主要介紹的是內(nèi)核Hook。
第11章  機(jī)器碼與反匯編引擎 150
11.1  了解Intel的機(jī)器碼 151
11.1.1  可執(zhí)行指令與數(shù)據(jù) 151
11.1.2  單條指令的組成 152
11.1.3  MOD-REG-R/M的組成 155
11.1.4  其他的組成部分 157
11.2  反匯編引擎XDE32基本數(shù)據(jù)結(jié)構(gòu) 159
11.3  反匯編引擎XDE32具體實(shí)現(xiàn) 162
第12章  CPU權(quán)限級與分頁機(jī)制 166
12.1  Ring0和Ring3權(quán)限級 167
12.2  保護(hù)模式下的分頁內(nèi)存保護(hù) 169
12.3  分頁內(nèi)存不可執(zhí)行保護(hù) 172
12.3.1  不可執(zhí)行保護(hù)原理 172
12.3.2  不可執(zhí)行保護(hù)的漏洞 173
12.4  權(quán)限級別的切換 177
12.4.1  調(diào)用門及其漏洞 178
12.4.2  sysenter和sysexit指令 181
第13章  開發(fā)Windows內(nèi)核Hook 186
13.1  XP下Hook系統(tǒng)調(diào)用IoCallDriver 187
13.2  Vista下IofCallDriver的跟蹤 189
13.3  Vista下inline hook 193
13.3.1  寫入跳轉(zhuǎn)指令并拷貝代碼 193
13.3.2  實(shí)現(xiàn)中繼函數(shù) 196
實(shí)戰(zhàn)篇  實(shí)際開發(fā)
實(shí)戰(zhàn)部分是本書最深入和復(fù)雜的一部分，包括第14～17章。為了讓前面練習(xí)的成果，在實(shí)際應(yīng)用中產(chǎn)生價(jià)值，在這部分我們補(bǔ)充更多的理論知識并嘗試用它們?nèi)プ鲆稽c(diǎn)什么。這一部分包括指令分析、硬件基礎(chǔ)知識、內(nèi)核Hook的實(shí)際開發(fā)練習(xí)，以及將完成一個(gè)用到內(nèi)核Hook的有趣的實(shí)例，這個(gè)實(shí)例有助于計(jì)算機(jī)阻擋各種病毒和木馬的侵襲。
此外，本部分還包括特殊的一章，涉及如何巧妙地編寫代碼，來防止被其他不受歡迎的讀者閱讀。這與本書的主旨完全相反，正所謂物極必反。
第14章  反病毒、木馬實(shí)例開發(fā) 200
14.1  反病毒、木馬的設(shè)想 201
14.2  開發(fā)內(nèi)核驅(qū)動(dòng) 204
14.2.1  在內(nèi)核中檢查可執(zhí)行文件 204
14.2.2  在內(nèi)核中生成設(shè)備接口 208
14.2.3  在內(nèi)核中等待監(jiān)控進(jìn)程的響應(yīng) 210
14.3  開發(fā)監(jiān)控進(jìn)程 216
14.4  本軟件進(jìn)一步展望 218
第15章  Rootkit與HIPS 220
15.1  Rootkit為何很重要 222
15.2  Rootkit如何逃過檢測 224
15.3  HIPS如何檢測Rootkit 234
第16章  手寫指令保護(hù)代碼 237
16.1  混淆字符串 238
16.2  隱藏內(nèi)核函數(shù) 244
16.3  混淆流程與數(shù)據(jù)操作 251
16.3.1  混淆函數(shù)出口 251
16.3.2  插入有意義的花指令 253
第17章  用VMProtect保護(hù)代碼 258
17.1  安裝VMProtect 259
17.2  使用VMProtect 261
17.3  查看VMProtect效果 267
參考文獻(xiàn) 270