免费阅读此书。 了解更多
免费借阅
或者
电子书定价: ¥26.04
Kindle电子书价格: ¥10.51

这些促销将适用于该商品:

部分促销可以同时享受;部分促销不可与其他促销同时享受。更多详情请查看促销条款。

Kindle 阅读软件徽标图片

下载免费的 Kindle 阅读软件,即可立即在智能手机、平板电脑或电脑上阅读 Kindle 电子书 - 无需 Kindle 设备了解更多信息

使用手机摄像头 - 扫描以下代码并下载 Kindle 阅读软件。

下载 Kindle 阅读软件的二维码

“天书夜读:从汇编语言到Windows内核编程 (驱网核心技术丛书)”,作者:[谭文, 邵坚磊]

天书夜读:从汇编语言到Windows内核编程 (驱网核心技术丛书) Kindle电子书

3.2 颗星,最多 5 颗星 32 评论

|
分享
分享 <分享样章>
广告
显示所有 格式和版本 隐藏其他格式和版本
亚马逊价格
全新品最低价 非全新品最低价
Kindle电子书
¥10.51

商品描述

目录

入手篇  熟悉汇编
本书的第一部分,将帮助读者消除对汇编的恐惧,熟悉汇编。本部分包括第1-3章。稍显枯燥的是,它们和Windows内核无关,是纯C语言与汇编语言的关系的章节。如果读者已经精通汇编语言,并能顺利阅读汇编代码,请直接跳过本部分。

第1章  汇编指令与C语言 2
1.1  上机建立第一个工程 4
1.1.1  用Visual Studio创建工程 4
1.1.2  用Visual Studio查看汇编代码 5
1.2  简要复习常用的汇编指令 6
1.2.1  堆栈相关指令 6
1.2.2  数据传送指令 7
1.2.3  跳转与比较指令 8
1.3  C函数的参数传递过程 9

第2章  C语言的流程和处理 14
2.1  C语言的循环反汇编 15
2.1.1  for循环 15
2.1.2  do循环 16
2.1.3  while循环 17
2.2  C语言判断与分支的反汇编 18
2.2.1  if-else判断分支 18
2.2.2  switch-case判断分支 19
2.3  C语言的数组与结构 22
2.4  C语言的共用体和枚举类型 24

第3章  练习反汇编C语言程序 26
3.1  算法的反汇编 27
3.1.1  算法反汇编代码分析 27
3.1.2  算法反汇编阅读技巧 28
3.2  发行版的反汇编 29
3.3  汇编反C语言练习 33
基础篇  内核编程

本书的第二部分,是编写Windows内核程序编程方法的基础。本部分包括第4-7章,如果读者对Windows内核编程已经有一定的了解,可以跳过本部分;如果读者从未接触过Windows内核编程,本部分将指导读者开始Windows内核编程,学会使用WDK,并熟悉内核编程的习惯与方法。

第4章  内核字符串与内存 38
4.1  字符串的处理 39
4.1.1  使用字符串结构 39
4.1.2  字符串的初始化 41
4.1.3  字符串的拷贝 42
4.1.4  字符串的连接 42
4.1.5  字符串的打印 43
4.2  内存与链表 45
4.2.1  内存的分配与释放 45
4.2.2  使用LIST_ENTRY 46
4.2.3  使用长长整型数据 49
4.2.4  使用自选锁 50

第5章  文件与注册表操作 52
5.1  文件操作 53
5.1.1  使用OBJECT_ATTRIBUTES 53
5.1.2  打开和关闭文件 54
5.1.3  文件读/写操作 58
5.2  注册表操作 60
5.2.1  注册表键的打开 60
5.2.2  注册表值的读 62
5.2.3  注册表值的写 65

第6章  时间与线程 67
6.1  时间与定时器 68
6.1.1  获得当前滴答数 68
6.1.2  获得当前系统时间 69
6.1.3  使用定时器 70
6.2  线程与事件 73
6.2.1  使用系统线程 73
6.2.2  在线程中睡眠 75
6.2.3  使用同步事件 76

第7章  驱动、设备与请求 79
7.1  驱动与设备 80
7.1.1  驱动入口与驱动对象 80
7.1.2  分发函数和卸载函数 80
7.1.3  设备与符号链接 82
7.1.4  设备的安全创建 83
7.1.5  设备与符号链接的用户相关性 85
7.2  请求处理 86
7.2.1  IRP与IO_STACK_LOCATION 86
7.2.2  打开与关闭请求的处理 88
7.2.3  应用层信息传入 89
7.2.4  驱动层信息传出 91

探索篇  研究内核
本书的第三部分,开始探索Windows内核程序,并尝试阅读反汇编代码作为指引。本部分包括第8-10章。如果读者对Windows内核编程已经有一定的了解,这一部分会比较有趣;如果读者从未接触过Windows内核编程,读者应该先学习第二部分。能自己编写内核程序并不意味着可以读懂内核,虽然反过来是一定成立的。读懂别人编写的没有代码的程序,比自己编写更困难一些,但的确是值得的。
第8章  进入Windows内核 96
8.1  开始Windows内核编程 97
8.1.1  内核编程的环境准备 97
8.1.2  用C语言写一个内核程序 99
8.2  学习用WinDbg进行调试 102
8.2.1  软件的准备 102
8.2.2  设置Windows XP调试执行 103
8.2.3  设置VMWare虚拟机调试 104
8.2.4  设置被调试机为Vista的情况 105
8.2.5  设置Windows内核符号表 106
8.2.6  调试例子diskperf 106
8.3  认识内核代码函数调用方式 107
8.4  尝试反写C内核代码 111
8.5  如何在代码中寻找需要的信息 113

第9章  用C++编写的内核程序 117
9.1  用C++开发内核程序 118
9.1.1  建立一个C++的内核工程 118
9.1.2  使用C接口标准声明 119
9.1.3  使用类静态成员函数 120
9.1.4  实现new操作符 121
9.2  开始阅读一个反汇编的类 122
9.2.1  new操作符的实现 122
9.2.2  构造函数的实现 124
9.3  了解更多的C++特性 126

第10章  继续探索Windows内核 131
10.1  探索Windows已有内核调用 132
10.2  自己实现XP的新调用 135
10.2.1  对照调试结果和数据结构 135
10.2.2  写出C语言的对应代码 137
10.3  没有符号表的情况 138
10.4  64位操作系统下的情况 141
10.4.1  分析64位操作系统的调用 143
10.4.2  深入了解64位内核调用参数传递 145

深入篇  修改内核
这是本书的第四部分。读者已经尝试过探索Windows内核程序,并尝试阅读反汇编代码。那么接下来,必须掌握修改内核的方法。每一个Windows内核程序,都可以看做Windows内核本身的一个“补丁”。有时只需要独立存在,就能起到它的作用;有时却必须对已有的内核二进制代码进行部分修改。本部分包括第11~~13章,主要介绍的是内核Hook。
第11章  机器码与反汇编引擎 150
11.1  了解Intel的机器码 151
11.1.1  可执行指令与数据 151
11.1.2  单条指令的组成 152
11.1.3  MOD-REG-R/M的组成 155
11.1.4  其他的组成部分 157
11.2  反汇编引擎XDE32基本数据结构 159
11.3  反汇编引擎XDE32具体实现 162

第12章  CPU权限级与分页机制 166
12.1  Ring0和Ring3权限级 167
12.2  保护模式下的分页内存保护 169
12.3  分页内存不可执行保护 172
12.3.1  不可执行保护原理 172
12.3.2  不可执行保护的漏洞 173
12.4  权限级别的切换 177
12.4.1  调用门及其漏洞 178
12.4.2  sysenter和sysexit指令 181

第13章  开发Windows内核Hook 186
13.1  XP下Hook系统调用IoCallDriver 187
13.2  Vista下IofCallDriver的跟踪 189
13.3  Vista下inline hook 193
13.3.1  写入跳转指令并拷贝代码 193
13.3.2  实现中继函数 196

实战篇  实际开发
实战部分是本书最深入和复杂的一部分,包括第14~17章。为了让前面练习的成果,在实际应用中产生价值,在这部分我们补充更多的理论知识并尝试用它们去做一点什么。这一部分包括指令分析、硬件基础知识、内核Hook的实际开发练习,以及将完成一个用到内核Hook的有趣的实例,这个实例有助于计算机阻挡各种病毒和木马的侵袭。
此外,本部分还包括特殊的一章,涉及如何巧妙地编写代码,来防止被其他不受欢迎的读者阅读。这与本书的主旨完全相反,正所谓物极必反。
第14章  反病毒、木马实例开发 200
14.1  反病毒、木马的设想 201
14.2  开发内核驱动 204
14.2.1  在内核中检查可执行文件 204
14.2.2  在内核中生成设备接口 208
14.2.3  在内核中等待监控进程的响应 210
14.3  开发监控进程 216
14.4  本软件进一步展望 218

第15章  Rootkit与HIPS 220
15.1  Rootkit为何很重要 222
15.2  Rootkit如何逃过检测 224
15.3  HIPS如何检测Rootkit 234

第16章  手写指令保护代码 237
16.1  混淆字符串 238
16.2  隐藏内核函数 244
16.3  混淆流程与数据操作 251
16.3.1  混淆函数出口 251
16.3.2  插入有意义的花指令 253

第17章  用VMProtect保护代码 258
17.1  安装VMProtect 259
17.2  使用VMProtect 261
17.3  查看VMProtect效果 267
参考文献 270
--此文字指其他 kindle_edition 版本。

序言

Windows是庞大复杂的系统。由于Windows并不公开源代码,我们在调试程序的时候,往往就调到自己未知的领域去了。没有C代码,只能看到令人眼花缭乱的汇编指令和机器码。我曾对它们望而生畏,敬而远之。尤其在这个黑客、破解、病毒、木马横行的时代,如果作为安全软件的开发者,同样不能期盼病毒的作者提供可以阅读的高级语言代码。
如果那些东西,也和C语言一样亲切易懂,那多么好啊!这样的话,即便是Windows这样庞大复杂而且封闭的系统,或者是再诡异和隐蔽的破坏技术,至少只要我愿意去探索,对我来说就不再有秘密可言。
其实这个梦想并非不切实际。既然我们能读懂C代码,何以就不能读懂汇编呢?很多高手眼中,机器指令和C代码一样熟悉。
这本书并没有系统地介绍Windows系统底层。但是我尝试寻找正确的方法和手段,为读者打开Windows底层知识宝库的大门,使读者可以在其中自由阅读,自己去获取所需知识。
本书强调汇编语言的应用。虽然没有像指令手册那样罗列所有指令的细节,但是让读者在实践中熟悉实用的汇编指令。我一般把汇编语言用于调试和理解程序,在写代码时应用较少。但是汇编是了解没有代码的二进制代码的基础。
这里着重于Windows内核编程,包括WDK、WinDbg的使用,但是Windows内核开发体系庞大复杂,这方面已经有很多的经典书籍可以阅读。在这里我只提到了简单、实用和必要的部分。
对于安全软件的开发者,尤其是有兴趣在Windows系统下开发反病毒软件的内核驱动读者,会学到基础的研究方法。
由于这一切都从阅读和理解机器指令出发,所以名为“天书夜读”。
“天书夜读”是通向软件底层技术的一个大门与捷径。这里涉及的每个方面的技术,无论是CPU底层架构与机器指令、汇编语言、Windows内核编程、软件逆向工程还是软件调试,无一不是入门艰难的技术,许多技术者在开始时就被汗牛充栋的庞杂资料吓倒。用一条简洁明确的线,把它们串联起来,使读者可以从最基础入门,循序渐进地接触到高深的技术,并应用于实际。避免一开始就面对浩瀚的文档资料而茫然不知如何入手,也不知如何学以致用,这就是我写这本书的目的。
本书正文的内容是从读者很可能已经遗忘的汇编语言的基础指令开始,介绍C语言与汇编指令的关系,为阅读用C语言编写的Windows内核做准备。然后开始讲解Windows内核的C语言编程的基础。让读者能熟悉使用C语言开发Windows内核程序。接着指导读者进行内核的开发和调试环境的配置,并进行了一系列的尝试:阅读Windows内核的部分实现代码,并尝试自己去实现它。与此同时,产生了修改已有内核的需求。于是接下来介绍了机器码指令和汇编语言的关系,以及能够解读机器码的反汇编引擎,并以此为基础,介绍了进行Windows内核Hook开发的方法。之后是Windows内核Hook的一个利用:我们举出了一个防止病毒木马感染的安全防毒软件的例子。在此之后,简要介绍了更深层次的病毒与安全的对抗:Rootkit与HIPS。最后是一些防止代码与技术被阅读者“偷学”的章节。
相信读者读完此书,无论是对汇编语言的掌握,还是Windows编程的技术,以及对Windows系统的了解和调试程序、查找修正故障的能力,都会得到一个飞跃式的提高。
2008年4月2日
--此文字指其他 kindle_edition 版本。

基本信息

  • ASIN ‏ : ‎ B00A76JDGE
  • 出版社 ‏ : ‎ 电子工业出版社; 第1版 (2012年11月23日)
  • 出版日期 ‏ : ‎ 2008年1月1日
  • 品牌 ‏ : ‎ 电子工业出版社
  • 语言 ‏ : ‎ 简体中文
  • 文件大小 ‏ : ‎ 894 KB
  • 标准语音朗读 ‏ : ‎ 未启用
  • X-Ray ‏ : ‎ 未启用
  • 生词提示功能 ‏ : ‎ 未启用
  • 纸书页数 ‏ : ‎ 384页
  • 用户评分:
    3.2 颗星,最多 5 颗星 32 评论

买家评论

3.2 颗星,最多 5 颗星
3.2星,共 5 星
32 买家评级

评论该商品

与其他买家分享您的想法

31 个顾客评论

2011年5月1日
已确认购买
1 个人发现此评论有用
报告滥用情况
2008年11月23日
已确认购买
2009年10月31日
已确认购买
4 个人发现此评论有用
报告滥用情况
2011年4月13日
已确认购买
1 个人发现此评论有用
报告滥用情况
2010年5月10日
已确认购买
2009年6月10日
已确认购买
2009年11月24日
已确认购买
2 个人发现此评论有用
报告滥用情况
2009年7月7日
已确认购买