[计算机软件及应用]网络攻击课件-二进制代码分析.ppt

二进制代码分析;关于;From the very begin：文件格式;Windows的系统文件;内存、地址;物理内存;32bit 4GB;Windows内存划分;Windows内存划分;内存区域;页面属性;映射过程;PT;交换文件; ;代码、数据、堆栈;寄存器;CRx;EXE文件（DLL也一样）;观察EXE文件;Exe和dll;tasklist /m;重要的dll函数;Exe文件：visual studio角度;用vc看函数调用过程;jmp表;函数调用约定风格;-;装载exe;Exe\dll在一起：内存布局;阅读exe代码;用IDA查看EXE/DLL;IDA：汇编代码和流程图;P-code;Ollydbg(od)的使用;使用断点;演示bp bind;在运行中：修改exe代码和数据;CreateProcess(CREATE_SUSPENDED);读写目标进程的数据和代码;示例;在目标进程中创建线程;注入DLL;Dll注入技术;注入方法（1）AppInit_DLLs;演示;有选择地驻留;注入方法（2）针对某个exe进程;switch( fdwReason );in injected DLL;创建DOS窗口：AllocConsole();调用dll中的函数;调用exe中的函数：f1() in exe;How to call f1 in dll: C风格;How to call f1 in dll: 汇编风格;修改exe代码字节指令;Call/E8 vs. Call/FF15;修改exe代码示例：call/e8 in exe.c;f1(1,2)汇编代码(VC调试模式);myf1() in dll.c;修改函数地址: 引号内;;;修改exe代码示例：recvfrom;在a.exe;参考代码;Hack系统dll中的函数;在注入的dll中; ;对抗代码逆向：花指令等;花/混淆指令举例;;花/混淆指令举例;添加花指令工具;壳 packer;Upx演示;对抗代码逆向：代码虚拟化;典型的虚拟机结构;带壳程序的运行特点;VMProtect;脱壳 unpacker;Themida：4种保护宏;;插件;Od插件：反反跟踪;中断、异常;结构化异常处理（SEH）;SEHOP;SEHOP效果;;Basic sample：Buffer over flow;对应的汇编代码;执行到puts()时的堆栈状况;输入16个字符，导致堆栈错误;溢出会导致：;利用BoF;;;;;gets(), scanf(), memcpy(), strcpy() etc;buffer overflows in the heap;练习;利用堆栈执行某些代码;Exploit example;MS08-067;dep;Address space layout randomization;代码安全：不能假设;版权保护手段;破解举例;asm and code byte;cracker方案;74/75实例;示例：softice找sn;序列号SN的屏蔽方法举例;SN ！;Source，Asm +;SoftICE;值得注意的WIN32 API;Softice snapshot;反编译、反汇编;案例学习和分析：XP算号器;总结和参考资料;作业与练习;QQ服务器的功能;end qa