二進制分析實戰(zhàn)

目　　錄
第　一部分 二進制格式
第　1章 二進制簡介　2
1．1　C編譯過程　3
1．1．1　預處理階段　3
1．1．2　編譯階段　5
1．1．3　匯編階段　6
1．1．4　鏈接階段　7
1．2　符號和剝離的二進制文件　9
1．2．1　查看符號信息　9
1．2．2　剝離二進制文件　10
1．3　反匯編二進制文件　11
1．3．1　查看對象文件　11
1．3．2　檢查完整的二進制執(zhí)行體　13
1．4　加載并執(zhí)行二進制文件　17
1．5　總結(jié)　19
1．6　練習　19
第　2章 ELF格式　20
2．1　ELF頭部　22
2．1．1　e_ident數(shù)組　22
2．1．2　e_type、e_machine及e_version字段　24
2．1．3　e_entry字段　24
2．1．4　e_phoff和e_shoff字段　25
2．1．5　e_flags字段　25
2．1．6　e_ehsize字段　25
2．1．7　e_*entsize和e_*num字段　25
2．1．8　e_shstrndx字段　26
2．2　節(jié)頭　26
2．2．1　sh_name字段　27
2．2．2　sh_type字段　28
2．2．3　sh_flags字段　28
2．2．4　sh_addr、sh_offset及sh_size字段　29
2．2．5　sh_link字段　29
2．2．6　sh_info字段　29
2．2．7　sh_addralign字段　29
2．2．8　sh_entsize字段　29
2．3　節(jié)　30
2．3．1　．init和．fini節(jié)　31
2．3．2?。畉ext節(jié)　31
2．3．3?。産ss、．data及．rodata節(jié)　33
2．3．4　延遲綁定和．plt、．got及．got．plt節(jié)　33
2．3．5?。畆el．*和．rela．*節(jié)　36
2．3．6?。甦ynamic節(jié)　37
2．3．7?。甶nit_array和．fini_array節(jié)　38
2．3．8?。畇hstrtab、．symtab、．strtab、．dynsym及．dynstr節(jié)　39
2．4　程序頭　40
2．4．1　p_type字段　41
2．4．2　p_flags字段　42
2．4．3　p_offset、p_vaddr、p_paddr、p_filesz及p_memsz字段　42
2．4．4　p_align字段　42
2．5　總結(jié)　42
2．6　練習　43
第3章　PE格式簡介　44
3．1　MS-DOS頭和MS-DOS存根　45
3．2　PE簽名、PF文件頭及PE可選頭　46
3．2．1　PE簽名　48
3．2．2　PE文件頭　48
3．2．3　PE可選頭　48
3．3　節(jié)表　49
3．4　節(jié)　49
3．4．1?。甧data和．idata節(jié)　50
3．4．2　PE代碼節(jié)的填充　51
3．5　總結(jié)　51
3．6　練習　51
第4章　使用libbfd創(chuàng)建二進制加載器　53
4．1　什么是libbfd　53
4．2　一個簡單的二進制加載接口　54
4．2．1　Binary類　56
4．2．2　Section類　57
4．2．3　Symbol類　57
4．3　實現(xiàn)二進制加載器　57
4．3．1　初始化libbfd并打開二進制文件　58
4．3．2　解析基礎(chǔ)二進制屬性　60
4．3．3　加載符號　63
4．3．4　加載節(jié)信息　66
4．4　測試二進制加載器　68
4．5　總結(jié)　71
4．6　練習　71
第二部分　二進制分析基礎(chǔ)
第5章　Linux二進制分析　74
5．1　使用file解決類型問題　75
5．2　使用ldd探索依賴性　77
5．3　使用xxd查看文件內(nèi)容　79
5．4　使用readelf解析并提取ELF庫文件　81
5．5　使用nm解析符號　83
5．6　使用strings查看Hints　86
5．7　使用strace和ltrace跟蹤系統(tǒng)調(diào)用和庫文件調(diào)用　88
5．8　使用objdump檢查指令集行為　93
5．9　使用GDB轉(zhuǎn)儲動態(tài)字符串緩沖區(qū)　95
5．10　總結(jié)　97
5．11　練習　97
第6章　反匯編與二進制分析基礎(chǔ)　98
6．1　靜態(tài)反匯編　98
6．1．1　線性反匯編　99
6．1．2　遞歸反匯編　101
6．2　動態(tài)反匯編　104
6．2．1　示例：使用GDB跟蹤二進 制執(zhí)行　105
6．2．2　代碼覆蓋策略　108
6．3　構(gòu)建反匯編代碼和數(shù)據(jù)　111
6．3．1　構(gòu)建代碼　112
6．3．2　構(gòu)建數(shù)據(jù)　118
6．3．3　反編譯　119
6．3．4　中間語言　121
6．4　基本分析方法　123
6．4．1　二進制分析的特性　123
6．4．2　控制流分析　127
6．4．3　數(shù)據(jù)流分析　129
6．5　編譯器設(shè)置對反匯編的影響　132
6．6　總結(jié)　133
6．7　練習　134
第7章　簡單的ELF代碼注入技術(shù)　135
7．1　使用十六進制編輯器修改裸機二進制文件　135
7．1．1　在操作中觀察off-by-one漏洞　136
7．1．2　修復off-by-one漏洞　139
7．2　使用LD_PRELOAD修改共享庫行為　142
7．2．1　堆溢出漏洞　143
7．2．2　檢測堆溢出　145
7．3　注入代碼節(jié)　148
7．3．1　注入ELF節(jié)：高級概述　149
7．3．2　使用elfinject注入ELF節(jié)　151
7．4　調(diào)用注入的代碼　155
7．4．1　入口點修改　155
7．4．2　劫持構(gòu)造函數(shù)和析構(gòu)函數(shù)　158
7．4．3　劫持GOT條目　161
7．4．4　劫持PLT條目　164
7．4．5　重定向直接調(diào)用和間接調(diào)用　165
7．5　總結(jié)　166
7．6　練習　166
第三部分　高級二進制分析
第8章　自定義反匯編　168
8．1　為什么要自定義反匯編過程　168
8．1．1　一個自定義反匯編實例：代碼混淆　169
8．1．2　編寫自定義反匯編器的其他原因　171
8．2　Capstone介紹　172
8．2．1　Capstone安裝　173
8．2．2　Capstone線性反匯編　174
8．2．3　研究Capstone C的API　179
8．2．4　使用Capstone編寫遞歸反匯編器　180
8．3　實現(xiàn)一個ROP小工具掃描器　188
8．3．1　返回導向式編程簡介　189
8．3．2　尋找ROP的“gadget”　190
8．4　總結(jié)　196
8．5　練習　197
第9章　二進制插樁　198
9．1　什么是二進制插樁　198
9．1．1　二進制插樁的相關(guān)API　199
9．1．2　靜態(tài)二進制插樁和動態(tài)二進制插樁的對比　199
9．2　靜態(tài)二進制插樁　201
9．2．1　int 3方法　201
9．2．2　跳板方法　203
9．3　動態(tài)二進制插樁　207
9．3．1　DBI系統(tǒng)的體系結(jié)構(gòu)　207
9．3．2　Pin介紹　209
9．4　使用Pin進行分析　210
9．4．1　Profiler的數(shù)據(jù)結(jié)構(gòu)和創(chuàng)建代碼　210
9．4．2　解析函數(shù)符號　213
9．4．3　插樁基本塊　214
9．4．4　檢測控制流指令　216
9．4．5　指令、控制轉(zhuǎn)移及系統(tǒng)調(diào)用計數(shù)　219
9．4．6　測試Profiler　220
9．5　用Pin自動對二進制文件脫殼　224
9．5．1　可執(zhí)行文件加殼器簡介　224
9．5．2　脫殼器的配置代碼及其使用的數(shù)據(jù)結(jié)構(gòu)　225
9．5．3　對內(nèi)存寫入插樁　228
9．5．4　插樁控制流指令　229
9．5．5　跟蹤內(nèi)存寫入　229
9．5．6　檢測原始入口點并轉(zhuǎn)儲脫殼二進制文件　230
9．5．7　測試脫殼器　231
9．6　總結(jié)　236
9．7　練習　236
第　10章 動態(tài)污點分析的原理　237
10．1　什么是DTA　237
10．2　DTA三步：污點源、污點槽及污點傳播　238
10．2．1　定義污點源　238
10．2．2　定義污點槽　239
10．2．3　追蹤污點傳播　239
10．3　使用DTA檢測心臟滴血漏洞　239
10．3．1　心臟滴血漏洞概述　239
10．3．2　通過污點分析檢測心臟滴血漏洞　241
10．4　DTA設(shè)計因素：污點粒度、污點顏色及污點傳播策略　242
10．4．1　污點粒度　243
10．4．2　污點顏色　244
10．4．3　污點傳播策略　244
10．4．4　過污染和欠污染　246
10．4．5　控制依賴　246
10．4．6　影子內(nèi)存　247
10．5　總結(jié)　249
10．6　練習　249
第　11章 基于libdft的動態(tài)污點分析　250
11．1　libdft簡介　250
11．1．1　libdft的內(nèi)部結(jié)構(gòu)　251
11．1．2　污點傳播策略指令　253
11．2　使用DTA檢測遠程控制流劫持攻擊　254
11．2．1　檢查污點信息　257
11．2．2　污點源：將收到的字節(jié)標記為污點　258
11．2．3　檢查點：檢查execve參數(shù)　260
11．2．4　檢測控制流劫持攻擊　261
11．3　用隱式流繞過DTA　266
11．4　基于DTA的數(shù)據(jù)泄露檢測器　268
11．4．1　污點源：追蹤打開文件的污點　270
11．4．2　檢查點：監(jiān)控泄露數(shù)據(jù)的網(wǎng)絡(luò)發(fā)送　273
11．4．3　檢測數(shù)據(jù)泄露　275
11．5　總結(jié)　277
11．6　練習　277
第　12章 符號執(zhí)行原理　278
12．1　符號執(zhí)行概述　278
12．1．1　符號執(zhí)行與正常執(zhí)行的對比　279
12．1．2　符號執(zhí)行的變體和局限　282
12．1．3　提高符號執(zhí)行的可擴展性　286
12．2　使用Z3進行約束求解　288
12．2．1　證明指令的可達性　288
12．2．2　證明指令的不可達性　291
12．2．3　證明公式的永真性　292
12．2．4　簡化表達式　293
12．2．5　使用位向量對機器碼建立約束模型　294
12．2．6　用位向量求解不透明謂詞　296
12．3　總結(jié)　296
12．4　練習　297
第　13章 使用Triton實現(xiàn)符號執(zhí)行　298
13．1　Triton的介紹　298
13．2　使用抽象語法樹維護符號狀態(tài)　299
13．2．1　完整的抽象語法樹　301
13．2．2　使用引用的抽象語法樹　301
13．3　使用Triton進行后向切片　302
13．3．1　Triton的頭文件以及相關(guān)配置　304
13．3．2　符號化配置文件　305
13．3．3　模擬指令　306
13．3．4　設(shè)置Triton的體系結(jié)構(gòu)　307
13．3．5　計算后向切片　308
13．4　使用Triton提升代碼覆蓋率　310
13．4．1　創(chuàng)建符號變量　312
13．4．2　尋找新路徑的解　313
13．4．3　測試代碼覆蓋工具　316
13．5　漏洞利用自動化　319
13．5．1　包含脆弱調(diào)用點的程序　320
13．5．2　查找脆弱調(diào)用點的地址　323
13．5．3　構(gòu)建漏洞利用生成器　325
13．5．4　獲取root權(quán)限的Shell　331
13．6　總結(jié)　334
13．7　練習　334
第四部分　附錄
附錄A　x86匯編快速入門　336
A．1　匯編程序的布局　336
A．1．1　匯編指令、偽指令、標號及注釋　337
A．1．2　代碼與數(shù)據(jù)分離　338
A．1．3　AT&T和Intel語法　339
A．2　x86指令結(jié)構(gòu)　339
A．2．1　x86指令的匯編層表示　339
A．2．2　x86指令的機器級結(jié)構(gòu)　339
A．2．3　寄存器操作數(shù)　340
A．2．4　內(nèi)存操作數(shù)　342
A．2．5　立即數(shù)　343
A．3　常見的x86指令　343
A．3．1　比較操作數(shù)和設(shè)置狀態(tài)標志位　344
A．3．2　實現(xiàn)系統(tǒng)調(diào)用　345
A．3．3　實現(xiàn)條件跳轉(zhuǎn)　345
A．3．4　加載內(nèi)存地址　345
A．4　匯編的通用代碼構(gòu)造　345
A．4．1　?！?46
A．4．2　函數(shù)調(diào)用與函數(shù)棧幀　347
A．4．3　條件分支　351
A．4．4　循環(huán)　352
附錄B　使用libelf實現(xiàn)PT_NOTE覆蓋　354
B．1　請求頭　354
B．2　elfinject使用的數(shù)據(jù)結(jié)構(gòu)　355
B．3　初始化libelf　356
B．4　獲取可執(zhí)行頭　360
B．5　查找PT_NOTE段　360
B．6　注入代碼　362
B．7　為注入的節(jié)對齊加載地址　362
B．8　覆蓋．note．ABI-tag節(jié)頭　363
B．9　設(shè)置注入節(jié)的名稱　367
B．10　覆蓋PT_NOTE程序頭　369
B．11　修改入口點　372
附錄C　二進制分析工具清單　373
C．1　反匯編工具　373
C．1．1　IDA Pro（Windows、Linux、macOS）　373
C．1．2　Hopper（Linux、macOS）　373
C．1．3　ODA（所有操作系統(tǒng)）　374
C．1．4　Binary Ninja（Windows、Linux、macOS）　374
C．1．5　Relyze（Windows）　374
C．1．6　Medusa（Windows、Linux）　374
C．1．7　radare（Windows、Linux、macOS）　374
C．1．8　objdump（Linux、macOS）　374
C．2　調(diào)試器　374
C．2．1　GDB（Linux）　374
C．2．2　OllyDbg（Windows）　375
C．2．3　Windbg（Windows）　375
C．2．4　Bochs（Windows、Linux、macOS）　375
C．3　反匯編框架　375
C．3．1　Capstone（Windows、Linux、macOS ）　375
C．3．2　distorm3（Windows、Linux、macOS）　375
C．3．3　udis86（Linux、macOS）　375
C．4　二進制分析框架　376
C．4．1　angr（Windows、Linux、macOS）　376
C．4．2　Pin（Windows、Linux、macOS）　376
C．4．3　Dyninst（Windows、Linux）　376
C．4．4　Unicorn（Windows、Linux、macOS）　376
C．4．5　libdft（Linux）　376
C．4．6　Triton（Windows、Linux、macOS）　376