簡介
這是一本作者以自身逆向工程十年的經驗累積而成的書籍,其中結合了編譯器原理、作業系統與逆向工程實務三者混著介紹的書;坊間已經有了許多單獨介紹單一領域且非常深度的書,然而逆向工程實際上需要有這三個不同領域都非常扎實的基礎與脈絡才能融會貫通,作者因而催生了撰寫一本專為逆向工程有興趣的入門者撰寫書籍的想法。
此本書將會由淺入深從基礎 C 原始碼開始談及編譯器如何將原始碼編譯並遵照可執行文件格式(PE)封裝為靜態 *.EXE 文件、接著談及作業系統如何解析 *.EXE 文件並裝載為 Process 使其能真正的執行起來完整流程。其中,除了介紹扎實的作業系統實現基礎外,並帶以各國網軍(如 CIA、海蓮花、APT41)曾玩轉這些基礎的惡意利用手段,使讀者能一窺網軍如何操作這些奇技淫巧來打擊防毒軟體。這本書的內容能讓無論是網軍、逆向工程愛好者甚至威脅研究員都能以紅隊視角打下對 PE 格式扎實的基礎!
第三版新增第12章:系統內核。對於多數 Windows 系統使用者而言,系統核心(Windows Kernel)或者對岸中國稱之為「系統內核」是一個既神秘又鮮少有完整文獻記載入書籍的場域。由於微軟出於安全考量,關於系統核心的資訊是鮮少釋出、多數核心組件的利用細節皆是坊間軍火研究者在論壇、研討會或者部落格間口耳相傳記載的。並且 Windows核心的安全性在微軟不斷努力下變得更為安全、因此不同版本的系統核心間設計變化度極大、使得設計一個「長期可用且穩定的」系統核心教材維護變得極為困難。
話雖如此,在全球頂級的資安防護 AV/EDR 配備增強的人工智慧引擎後,惡意程序得在四處是防毒眼線下生存變得更為困難、因此坊間對於武器化系統核心攻擊的需求是與日俱增的。本章節將近年來所有針對系統核心的野外威脅總結並收斂為幾種經典的核心組件濫用案例,如 BYOVD(Bring Your Own Vulnerable Driver,自帶漏洞威脅驅動攻擊)、關閉微軟PPL 防護(Protected Process Light)、拔除遊戲防護核心偵測等野外記載的案例。
本章節將圍繞在微軟現代系統核心的主要幾大防護支柱玩轉與介紹,內容整理並部分節錄自筆者於 HITCON 2023 年議程《現代內核漏洞戰爭 - 越過所有核心防線的系統/晶片虛實混合戰法》、與加拿大研討會 SECTOR 2023議程《Advancing BYOVD to A New Era - Lateral Movement on Microsoft Layer Kernel Virtualized Mitigation》探索了不僅止於核心利用與微軟虛擬化防護 VBS(Virtualization-based Security)透過 ROP 手段如何繞過並奪下系統核心執行權限的細節。