作者简介
"Chris Eagle
从事逆向工程工作已有40年,是广受欢迎的逆向工程培训专家,畅销书《IDA Pro权威指南》的作者。他开发了许多逆向工程工具,并在Blackhat、Defcon和Shmoocon等会议上发表演讲。
Kara Nance
私人安全顾问、计算机科学领域教授。曾在Honeynet Project董事会任职,并在世界各地的会议上发表过多次演讲。喜欢构建Ghidra扩展并定期提供Ghidra培训。
关于技术审校
Brian Hay
逆向工程师、教授和软件开发人员,目前在一家知名安全研究公司任高级研究员。擅长设计和开发虚拟化环境用于培训和测试令人兴奋的新工具,例如Ghidra。
关于译者
杨超,毕业于西安电子科技大学,L-Team成员,持有CISP、CISSP证书,畅销书《CTF竞赛权威指南(Pwn篇)》作者。目前就职于某头部造车新势力,从事车联网安全研究和攻防测试工作,拥有多个CVE。活跃在开源社区,GitHub项目star数6000+。
GitHub:firmianay
个人公众号:VulnTotal安全"
展开▼
图书目录
第一部分简介
第1章反汇编简介1
1.1反汇编理论1
1.2何为反汇编2
1.3为何反汇编2
1.3.1恶意软件分析3
1.3.2漏洞分析3
1.3.3软件互操作性3
1.3.4编译器验证3
1.3.5显示调试信息4
1.4如何反汇编4
1.4.1基础反汇编算法4
1.4.2线性扫描反汇编5
1.4.3递归下降反汇编6
1.5小结9
第2章逆向与反汇编工具10
2.1分类工具10
2.1.1file10
2.1.2PETools12
2.1.3PEiD13
2.2摘要工具14
2.2.1nm14
2.2.2ldd16
2.2.3objdump17
2.2.4otool18
2.2.5dumpbin18
2.2.6c++filt19
2.3深度检测工具20
2.3.1strings20
2.3.2反汇编器21
2.4小结23
第3章初识Ghidra24
3.1Ghidra许可证24
3.2Ghidra版本24
3.3Ghidra支持资源24
3.4下载Ghidra25
3.5安装Ghidra25
3.5.1Ghidra的目录结构26
3.5.2启动Ghidra27
3.6小结27
第二部分Ghidra的基本用法
第4章开始使用Ghidra28
4.1启动Ghidra28
4.2创建新项目29
4.2.1Ghidra文件加载30
4.2.2使用原始二进制加载器32
4.3使用Ghidra分析文件33
4.4初始分析期间的桌面行为36
4.5Ghidra桌面提示和技巧37
4.6小结38
第5章Ghidra数据显示39
5.1CodeBrowser39
5.2CodeBrowser窗口41
5.2.1清单窗口42
5.2.2创建额外的反汇编窗口45
5.2.3函数图形化视图46
5.2.4程序树窗口49
5.2.5符号树窗口50
5.2.6数据类型管理器窗口53
5.2.7控制台窗口53
5.2.8反编译器窗口53
5.3其他窗口55
5.3.1字节窗口55
5.3.2数据定义窗口56
5.3.3字符串定义窗口58
5.3.4符号表和符号引用窗口58
5.3.5内存映射窗口60
5.3.6函数调用图窗口61
5.4小结62
第6章理解Ghidra反汇编63
6.1反汇编导航63
6.1.1名称和标签63
6.1.2在Ghidra中导航64
6.1.3GoTo对话框65
6.1.4导航历史65
6.2栈帧66
6.2.1函数调用机制66
6.2.2调用约定68
6.2.3栈帧的其他思考71
6.2.4局部变量布局72
6.2.5栈帧示例72
6.3Ghidra栈视图75
6.3.1Ghidra栈帧分析75
6.3.2清单视图中的栈帧76
6.3.3反编译辅助栈帧分析78
6.3.4局部变量作为操作数79
6.3.5Ghidra栈编辑器80
6.4搜索82
6.4.1搜索程序文本82
6.4.2搜索内存83
6.5小结84
第7章反汇编操作85
7.1操作名称和标签85
7.1.1重命名参数和局部变量86
7.1.2重命名标签89
7.1.3添加新标签89
7.1.4编辑标签90
7.1.5删除标签91
7.1.6导航标签91
7.2注释91
7.2.1行末注释92
7.2.2前注释与后注释92
7.2.3块注释93
7.2.4可重复注释94
7.2.5参数和局部变量注释94
7.2.6注解95
7.3基本的代码转换95
7.3.1更改代码显示选项95
7.3.2格式化指令操作数96
7.3.3操纵函数98
7.3.4数据与代码的转换100
7.4基本的数据转换100
7.4.1指定数据类型101
7.4.2处理字符串102
7.4.3定义数组103
7.5小结104
第8章数据类型和数据结构105
8.1理解数据105
8.2识别数据结构的使用106
8.2.1数组成员访问107
8.2.2结构体成员访问114
8.3用Ghidra创建结构体120
8.3.1创建结构体120
8.3.2编辑结构体成员122
8.3.3应用结构体布局124
8.4C++逆向入门125
8.4.1this指针125
8.4.2虚函数和虚表126
8.4.3对象生命周期129
8.4.4名称改编130
8.4.5运行时类型识别131
8.4.6继承关系132
8.4.7C++逆向参考资料133
8.5小结133
第9章交叉引用134
9.1引用基础134
9.1.1交叉引用(反向引用)135
9.1.2引用示例137
9.2引用管理窗口141
9.2.1XRefs窗口142
9.2.2ReferencesTo窗口142
9.2.3符号引用窗口143
9.2.4高级引用操作143
9.3小结144
第10章图形145
10.1基本块145
10.2函数图146
10.3函数调用图152
10.4树157
10.5小结157
第三部分让Ghidra为您工作
第11章协作逆向工程158
11.1团队协作158
11.2GhidraServer设置158
11.3共享项目161
11.3.1创建共享项目161
11.3.2项目管理162
11.4项目窗口菜单163
11.4.1文件菜单163
11.4.2编辑菜单165
11.4.3项目菜单166
11.5项目仓库169
11.5.1版本控制169
11.5.2示例场景171
11.6小结175
第12章自定义Ghidra176
12.1CodeBrowser窗口176
12.1.1重新排列窗口177
12.1.2编辑工具选项177
12.1.3编辑工具179
12.1.4特殊工具编辑功能180
12.1.5保存CodeBrowser布局181
12.2Ghidra项目窗口182
12.3工具菜单185
12.4工作区189
12.5小结189
第13章Ghidra功能扩展190
13.1导入文件190
13.2分析器192
13.3词模型193
13.4数据类型195
13.5FunctionID分析器198
13.6FunctionID插件199
13.6.1插件示例:UPX200
……
展开▼
