Дэннис Эндриесс - Практический анализ двоичных файлов

Дэннис Эндриесс

Практический анализ
двоичных файлов

PRACTICAL
BINARY
ANALYSIS
Build Your Own Linux Tools
for Binary Instrumentation,
Analysis, and Disassembly

Dennis Andriesse

San Francisco

ПРАКТИЧЕСКИЙ
АНАЛИЗ
ДВОИЧНЫХ
ФАЙЛОВ
Как самому создать
в Linux инструментарий
для оснащения, анализа
и дизассемблирования
двоичных файлов
Дэннис Эндриесс

Москва, 2022

УДК 004.451.5
ББК 32.371
Э64

Э64

Эндриесс Д.
Практический анализ двоичных файлов / пер. с англ. А. А. Слинкина. – М.:
ДМК Пресс, 2021. – 460 с.: ил.
ISBN 978-5-97060-978-1
В книге представлено подробное описание методов и инструментов, необходимых для анализа двоичного кода, который позволяет убедиться, что откомпилированная программа работает так же, как исходная, написанная на языке
высокого уровня.
Наряду с базовыми понятиями рассматриваются такие темы, как оснащение
двоичной программы, динамический анализ заражения и символическое выполнение. В каждой главе приводится несколько примеров кода; к книге прилагается
сконфигурированная виртуальная машина, включающая все примеры.
Руководство адресовано специалистам по безопасности и тестированию на
проникновение, хакерам, аналитикам вредоносных программ и всем, кто интересуется вопросами защиты ПО.

УДК 004.451.5
ББК 32.371

Title of English-language original: Practical Binary Analysis: Build Your Own Linux Tools
for Binary Instrumentation, Analysis, and Disassembly Reversing Modern Malware and Next
Generation Threats, ISBN 9781593279127, published by No Starch Press Inc. 245 8th Street, San
Francisco, California United States 94103. The Russian-Language 1st edition Copyright © 2021
by DMK Press Publishing under license by No Starch Press Inc. All rights reserved.
Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения
владельцев авторских прав.

ISBN 978-1-59327-912-7 (англ.)
ISBN 978-5-97060-978-1 (рус.)

© Dennis Andriesse, 21921
© Перевод, оформление,
издание, ДМК Пресс, 2021

Посвящается Ноортье и Сиетсе

ОГЛАВЛЕНИЕ
https://t.me/it_boooks
Вступительное слово....................................................................................................... 17
Предисловие...................................................................................................................... 20
Благодарности. ................................................................................................................. 21
Введение............................................................................................................................. 22

ЧАСТЬ I. ФОРМАТЫ ДВОИЧНЫХ ФАЙЛОВ
Глава 1. Анатомия двоичного файла. .......................................................................... 32
Глава 2. Формат ELF...............................................................................................52
Глава 3. Формат PE: краткое введение.................................................................78
Глава 4. Создание двоичного загрузчика с применением libbfd.......................... 88

ЧАСТЬ II. ОСНОВЫ АНАЛИЗА ДВОИЧНЫХ ФАЙЛОВ
Глава 5. Основы анализа двоичных файлов в Linux...............................................109
Глава 6. Основы дизассемблирования и анализа двоичных файлов..................135
Глава 7. Простые методы внедрения кода для формата ELF.................................178

ЧАСТЬ III. ПРОДВИНУТЫЙ АНАЛИЗ ДВОИЧНЫХ ФАЙЛОВ
Глава 8. Настройка дизассемблирования..................................................................212
Глава 9. Оснащение двоичных файлов. .....................................................................244
Глава 10. Принципы динамического анализа заражения.....................................289
Глава 11. Практический динамический анализ заражения с по­мощью libdft....305
Глава 12. Принципы символического выполнения. ...............................................335
Глава 13. Практическое символическое выполнение с помощью Triton. .........361

ЧАСТЬ IV. ПРИЛОЖЕНИЯ
Приложение A. Краткий курс ассемблера x86..........................................................402
Приложение B. Реализация перезаписи PT_NOTE с помощью libelf..................422
Приложение C. Перечень инструментов анализа двоичных файлов.................443
Приложение D. Литература для дополнительного чтения. ..................................447
Предметный указатель..................................................................................................451

6

Глава 

СОДЕРЖАНИЕ

Вступительное слово.............................................................................................. 17
Предисловие................................................................................................................ 20
Благодарности. ........................................................................................................... 21
Введение........................................................................................................................ 22
ЧАСТЬ I. ФОРМАТЫ ДВОИЧНЫХ ФАЙЛОВ
Глава 1. Анатомия двоичного файла............................................................. 32
1.1

1.2
1.3
1.4
1.5

Процесс компиляции программы на C. .......................................................... 33
1.1.1
Этап препроцессирования................................................................... 33
1.1.2
Этап --">