二進制分析屬于信息安全業(yè)界逆向工程中的一種技術(shù),通過利用可執(zhí)行的機器代碼(二進制)來分析應(yīng)用程序的控制結(jié)構(gòu)和運行方式,有助于信息安全從業(yè)人員更好地分析各種漏洞、病毒以及惡意軟件,從而找到相應(yīng)的解決方案。 《Linux二進制分析》是一本剖析Linux ELF工作機制的圖書,共分為9章,其內(nèi)容涵蓋了Linux環(huán)境和相關(guān)工具、ELF二進制格式、Linux進程追蹤、ELF病毒技術(shù)、Linux二進制保護、Linux中的ELF二進制取證分析、進程內(nèi)存取證分析、擴展核心文件快照技術(shù)、Linux proc kcore分析等。 《Linux二進制分析》適合具有一定的Linux操作知識,且了解C語言編程技巧的信息安全從業(yè)人員閱讀。
本書首先講解了UNIX Linux中分析目標文件的實用工具和ELF二進制格式的相關(guān)內(nèi)容,隨后介紹了進程追蹤、各種不同類型的Linux和UNIX病毒,以及如何使用ELF病毒技術(shù)進行處理。 本書的后半部分介紹了如何使用Kprobe工具進行內(nèi)核破解、代碼修補和調(diào)試,如何檢測并處理內(nèi)核模式的rootkit,以及如何分析靜態(tài)代碼;對復(fù)雜的用戶級內(nèi)存感染分析進行了相關(guān)講解。 本書將帶領(lǐng)讀者探索甚至連一些專家都未曾接觸的領(lǐng)域,正式進入計算機黑客世界。 本書讀者對象 如果你是一名軟件工程師或者逆向工程師,想要學(xué)習Linux二進制分析相關(guān)的內(nèi)容,本書實為明智之選。本書提供了在安全、取證和殺毒領(lǐng)域中實施二進制分析的解決方案。本書也適合安全愛好者和系統(tǒng)工程師閱讀。為了更好地理解本書內(nèi)容,讀者需要具備一定的C語言編程基礎(chǔ)和Linux命令行知識。 本書內(nèi)容 ELF二進制格式的內(nèi)部工作原理; UNIX病毒感染和分析的相關(guān)技術(shù); 二進制加固和軟件防篡改技術(shù); 修補可執(zhí)行文件和進程內(nèi)存; 繞過惡意軟件中的反調(diào)試; 二進制取證分析技術(shù); 用C語言設(shè)計ELF相關(guān)的工具; 如何使用ptrace操作內(nèi)存。 本書源碼可通過www.epubit.com.cn book details 4696下載。
Ryan O'Neill(ELF大師)是一名計算機安全研究員兼軟件工程師,具有逆向工程、軟件開發(fā)、安全防御和取證分析技術(shù)方面的背景。他是在計算機黑客亞文化的世界中成長起來的——那個由EFnet、BBS系統(tǒng)以及系統(tǒng)可執(zhí)行棧上的遠程緩沖區(qū)溢出組成的世界。他在年輕時就接觸了系統(tǒng)安全、開發(fā)和病毒編寫等領(lǐng)域。他對計算機黑客的極大熱情如今已經(jīng)演變成了對軟件開發(fā)和專業(yè)安全研究的熱愛。Ryan在DEFCON和RuxCon等很多計算機安全會議上發(fā)表過演講,還舉辦了一個為期兩天的ELF二進制黑客研討會。 他的職業(yè)生涯非常成功,曾就職于Pikewerks、Leviathan安全集團這樣的大公司,最近在Backtrace擔任軟件工程師。 Ryan還未出版過其他圖書,不過他在Phrack和VXHeaven這樣的在線期刊上發(fā)表的論文讓他聲名遠揚。還有許多其他的作品可以從他的網(wǎng)站(http: www.bitlackeys.org)上找到。
第1章 Linux環(huán)境和相關(guān)工具 1
1.1 Linux工具 1
1.1.1 GDB 2
1.1.2 GNU binutils中的objdump 2
1.1.3 GNU binutils中的objcopy 3
1.1.4 strace 3
1.1.5 ltrace 4
1.1.6 基本的ltrace命令 4
1.1.7 ftrace 4
1.1.8 readelf 4
1.1.9 ERESI——ELF反編譯系統(tǒng)接口 5
1.2 有用的設(shè)備和文件 6
1.2.1 proc maps 6
1.2.2 proc kcore 6
1.2.3 boot System.map 6
1.2.4 proc kallsyms 7
1.2.5 proc iomem 7
1.2.6 ECFS 7
1.3 鏈接器相關(guān)環(huán)境指針 7
1.3.1 LD_PRELOAD環(huán)境變量 8
1.3.2 LD_SHOW_AUXV環(huán)境變量 8
1.3.3 鏈接器腳本 9
1.4 總結(jié) 10
第2章 ELF二進制格式 11
2.1 ELF文件類型 12
2.2 ELF程序頭 14
2.2.1 PT_LOAD 14
2.2.2 PT_DYNAMIC——動態(tài)段的Phdr 15
2.2.3 PT_NOTE 17
2.2.4 PT_INTERP 17
2.2.5 PT_PHDR 17
2.3 ELF節(jié)頭 18
2.3.1 .text節(jié) 20
2.3.2 .rodata節(jié) 20
2.3.3 .plt節(jié) 21
2.3.4 .data節(jié) 21
2.3.5 .bss節(jié) 21
2.3.6 .got.plt節(jié) 21
2.3.7 .dynsym節(jié) 21
2.3.8 .dynstr節(jié) 22
2.3.9 .rel.*節(jié) 22
2.3.10 .hash節(jié) 22
2.3.11 .symtab節(jié) 22
2.3.12 .strtab節(jié) 23
2.3.13 .shstrtab節(jié) 23
2.3.14 .ctors和.dtors節(jié) 23
2.4 ELF符號 27
2.4.1 st_name 28
2.4.2 st_value 28
2.4.3 st_size 28
2.4.4 st_other 28
2.4.5 st_shndx 29
2.4.6 st_info 29
2.5 ELF重定位 34
2.6 ELF動態(tài)鏈接 43
2.6.1 輔助向量 44
2.6.2 了解PLT GOT 46
2.6.3 重溫動態(tài)段 49
2.7 編碼一個ELF解析器 52
2.8 總結(jié) 55
第3章 Linux進程追蹤 57
3.1 ptrace的重要性 57
3.2 ptrace請求 58
3.3 進程寄存器狀態(tài)和標記 60
3.4 基于ptrace的調(diào)試器示例 61
3.5 ptrace調(diào)試器 67
3.6 高級函數(shù)追蹤軟件 75
3.7 ptrace和取證分析 75
3.8 進程鏡像重建 77
3.8.1 重建進程到可執(zhí)行文件的挑戰(zhàn) 78
3.8.2 重建可執(zhí)行文件的挑戰(zhàn) 78
3.8.3 添加節(jié)頭表 79
3.8.4 重建過程算法 79
3.8.5 在32位測試環(huán)境中使用Quenya重建進程 81
3.9 使用ptrace進行代碼注入 83
3.10 簡單的例子演示復(fù)雜的過程 91
3.11 code_inject工具演示 92
3.12 ptrace反調(diào)試技巧 92
3.13 總結(jié) 94
第4章 ELF病毒技術(shù)——Linux UNIX病毒 95
4.1 ELF病毒技術(shù) 96
4.2 設(shè)計ELF病毒面臨的挑戰(zhàn) 97
4.2.1 寄生代碼必須是獨立的 97
4.2.2 字符串存儲的復(fù)雜度 99
4.2.3 尋找存放寄生代碼的合理空間 100
4.2.4 將執(zhí)行控制流傳給寄生代碼 100
4.3 ELF病毒寄生代碼感染方法 101
4.3.1 Silvio填充感染 101
4.3.2 逆向text感染 106
4.3.3 data段感染 108
4.4 PT_NOTE到PT_LOAD轉(zhuǎn)換感染 110
4.5 感染控制流 112
4.5.1 直接PLT感染 113
4.5.2 函數(shù)蹦床(function trampolines) 113
4.5.3 重寫.ctors .dtors函數(shù)指針 114
4.5.4 GOT感染或PLT GOT重定向 115
4.5.5 感染數(shù)據(jù)結(jié)構(gòu) 115
4.5.6 函數(shù)指針重寫 115
4.6 進程內(nèi)存病毒和rootkits——遠程代碼注入技術(shù) 115
4.6.1 共享庫注入 116
4.6.2 text段代碼注入 120
4.6.3 可執(zhí)行文件注入 120
4.6.4 重定位代碼注入——ET_REL注入 120
4.7 ELF反調(diào)試和封裝技術(shù) 121
4.7.1 PTRACE_TRACEME技術(shù) 121
4.7.2 SIGTRAP處理技術(shù) 122
4.7.3 proc self status技術(shù) 122
4.7.4 代碼混淆技術(shù) 123
4.7.5 字符串表轉(zhuǎn)換技術(shù) 124
4.8 ELF病毒檢測和殺毒 124
4.9 總結(jié) 126
第5章 Linux二進制保護 127
5.1 ELF二進制加殼器 127
5.2 存根機制和用戶層執(zhí)行 128
5.3 保護器存根的其他用途 133
5.4 現(xiàn)存的ELF二進制保護器 133
5.4.1 DacryFile——Grugq于2001年發(fā)布 134
5.4.2 Burneye——Scut于2002年發(fā)布 134
5.4.3 Shiva——Neil Mehta和Shawn Clowes于2003年發(fā)布 135
5.4.4 May's Veil——Ryan O'Neill于2014年發(fā)布 136
5.5 下載Maya保護的二進制文件 142
5.6 二進制保護中的反調(diào)試 142
5.7 防模擬技術(shù) 143
5.7.1 通過系統(tǒng)調(diào)用檢測模擬 144
5.7.2 檢測模擬的CPU不一致 144
5.7.3 檢測特定指令之間的時延 144
5.8 混淆方法 145
5.9 保護控制流完整性 145
5.9.1 基于ptrace的攻擊 145
5.9.2 基于安全漏洞的攻擊 146
5.10 其他資源 147
5.11 總結(jié) 147
第6章 Linux下的ELF二進制取證分析 149
6.1 檢測入口點修改技術(shù) 150
6.2 檢測其他形式的控制流劫持 154
6.2.1 修改.ctors .init_array節(jié) 154
6.2.2 檢測PLT GOT鉤子 155
6.2.3 檢測函數(shù)蹦床 158
6.3 識別寄生代碼特征 159
6.4 檢查動態(tài)段是否被DLL注入 161
6.5 識別逆向text填充感染 164
6.6 識別text段填充感染 166
6.7 識別被保護的二進制文件 170
6.8 IDA Pro 175
6.9 總結(jié) 175
第7章 進程內(nèi)存取證分析 177
7.1 進程內(nèi)存布局 178
7.1.1 可執(zhí)行文件內(nèi)存映射 179
7.1.2 程序堆 179
7.1.3 共享庫映射 180
7.1.4 棧、VDSO和vsyscall 180
7.2 進程內(nèi)存感染 181
7.2.1 進程感染工具 181
7.2.2 進程感染技術(shù) 182
7.3 檢測ET_DYN注入 184
7.3.1 Azazel:用戶級rootkit檢測 184
7.3.2 映射出進程的地址空間 184
7.3.3 查找棧中的LD_PRELOAD 187
7.3.4 檢測PLT GOT鉤子 188
7.3.5 ET_DYN注入內(nèi)部原理 190
7.3.6 操縱VDSO 194
7.3.7 共享目標文件加載 195
7.3.8 檢測.so注入的啟發(fā)方法 196
7.3.9 檢測PLT GOT鉤子的工具 197
7.4 Linux ELF核心文件 198
7.5 總結(jié) 204
第8章 ECFS——擴展核心文件快照技術(shù) 205
8.1 歷史 205
8.2 ECFS原理 206
8.3 ECFS入門 206
8.3.1 將ECFS嵌入到核心處理器中 207
8.3.2 在不終止進程的情況下使用ECFS快照 208
8.4 libecfs——解析ECFS文件的庫 208
8.5 readecfs工具 209
8.6 使用ECFS檢測被感染的進程 210
8.6.1 感染主機進程 210
8.6.2 捕獲并分析ECFS快照 211
8.6.3 使用readecfs提取寄生代碼 215
8.6.4 Azazel用戶級rootkit分析 216
8.7 ECFS參考指南 224
8.7.1 ECFS符號表重建 225
8.7.2 ECFS節(jié)頭 226
8.7.3 使用ECFS文件作為常規(guī)的核心文件 229
8.7.4 libecfs API的使用 229
8.8 使用ECFS恢復(fù)中斷的進程 230
8.9 了解更多ECFS相關(guān)內(nèi)容 231
8.10 總結(jié) 232
第9章 Linux proc kcore分析 233
9.1 Linux內(nèi)核取證分析和rootkit 233
9.2 沒有符號的備份vmlinux 234
9.3 探索 proc kcore和GDB 236
9.4 直接修改sys_call_table 237
9.4.1 檢測sys_call_table修改 238
9.4.2 內(nèi)核函數(shù)蹦床 238
9.4.3 函數(shù)蹦床示例 239
9.4.4 檢測函數(shù)蹦床 241
9.4.5 檢測中斷處理器修復(fù) 243
9.5 Kprobe rootkit 243
9.6 調(diào)試寄存器rootkit——DRR 244
9.7 VFS層rootkit 244
9.8 其他內(nèi)核感染技術(shù) 245
9.9 vmlinux和.altinstructions修補 245
9.9.1 .altinstructions和.altinstr_replace 246
9.9.2 arch x86 include asm alternative.h代碼片段 246
9.9.3 使用textify驗證內(nèi)核代碼完整性 247
9.9.4 使用textify檢查sys_call_table 247
9.10 使用taskverse查看隱藏進程 248
9.11 感染的LKM——內(nèi)核驅(qū)動 249
9.11.1 方法一:感染LKM文件——符號劫持 249
9.11.2 方法二:感染LKM文件——函數(shù)劫持 249
9.11.3 檢測被感染的LKM 250
9.12 dev kmem和 dev mem 250
9.12.1 dev mem 251
9.12.2 FreeBSD dev kmem 251
9.13 K-ecfs ——內(nèi)核ECFS 251
9.14 內(nèi)核黑客工具 252
9.14.1 通用的逆向工程和調(diào)試 253
9.14.2 高級內(nèi)核劫持 調(diào)試接口 253
9.14.3 本章提到的論文 253
9.15 總結(jié) 254