译者序 早在逆向工程这一行当如今日一般具备诸多的工程要义之前,我们更多地使用“Crack” 这一富有独立精神与草莽气息的词,来指代那些早期的为了反抗商业软件文化所固有的封 闭特性与垄断本质而实施的破解行为。早期的Cracker们并不像如今的逆向工程师一般有 福,有着大量强大丰富的自动化分析工具与成熟的方法论,然而在这些行业先行者身上所 体现出的精神与文化值得我们学习。 Cracker中的开山鼻祖+ORC便是其中一位身兼工程师与哲学家气质理念的传奇人物, 由其撰写的18篇《Howtocrack》作为最早的破解布道书广为流传,除了纯粹的技术内容 外,其中不乏充满灵性的隐喻与晢学理念。在其笔下,令人望而生畏的反编译代码被喻 为“代码丛林”(Codewood),而有幸踏入这块领地的Cracker们则有如苦行于山涧丛林 的狩猎者,他们沿着目标所留下的蛛丝马迹苦苦追寻,在坚忍之中等待着正面相遇的那 刻因缘际会。然而完满福德与美好因缘并不会轻易眷顾身带凡夫之气的新手,在他们 求得般若之前,也许免不了轮回于一次次触破水月镜花之后的悲喜,迷失于代码丛林时 的自我怀疑与望眼欲穿,以及柳暗花明后的唏嘘短叹。Crack的过程对于那些OldSchool 〔守旧派)来说更像是一次精神修行,帮助你在这旅途中发现自我,找寻一个更好的自我。 ORC在其撰写的教程中不止一次地提及修行的Cracker在Crack之时,不应忘记破解之禅 (Zenofcrack)。 也许任何一门迷人醉心的文化或者技艺都逃不过在商业洪流磨砺下重建秩序的宿命, 就像朋克文化与摇滚乐一样。随着各种黑帽,灰帽会议召开,越来越多的安全爱好者与黑 客从地下浮出,试图在这个利益驱动的行业生态中寻求成功。于是在这个角色分工逐渐明 细的行业中,黑帽们开发漏洞利用(exploit)与白帽们做应急响应的周期呈现交替缩短的 态势。对于各个黑帽组织与安全机构的领导者而言,将一群天赋过人,却往往又性格迥异, 而且成本不菲的安全工程师黏合到一起,在他们的创造性与工程可控性之间找到平衡点, 成了他们需要解决的首要问题。淮能更好地处理这个问题,往往就能在这个分秒必争的博 弈局面中抢得先机。 Python语言似乎在这一衍变趋势与安全技术社区的共同诉求中成为了潮流方向,这一 可时具备脚本语言简单、快捷与开发大型项目所需的严谨工程特性的精灵成为了众多黑客 之间的揉合剂。关于Python社区中有一句广为流传的口号“生命短暂,请用Python”在 Python身上所体现的理念与当今黑客与逆向工程师们所期待的不谋而合。这也许可以帮我 们解释为何众多优秀的安个项目与黑客工具选择Python的原因。比如,日前在逆向工程行 业口碑甚佳的“白眉”便是一个使用纯Python实现的项目,白眉的作者同时也是业界的大牛 PedramAmini向来对Python偏爱有佳。另一款值得称道的调试器工具ImmunityDebugger 则是知名安全机构ImmunityInc的作品,来自Immunity的黑客们基于Python强大的底层 操作能力与工程特性在繁杂琐细的操作系统底层与上层应用之间抽象出一层API。从中我 们可以领略到ImmunityInc的领导者,老牌黑客DaveAitel在设计安全产品与协同众多安 全硏究者方面的智慧与卓越策略。这些非常值得安全技术研究与商业化发展不尽人意的国 内机构借鉴与学习。 在本书的翻译过程中,我调试了书中所涉及的代码,发现了原书的一些问题,给Justin 先生发了E-mail,并得到了Justin先生的确认。 感谢team509的Hannibal为本书担任审校一职,这是我完成翻译工作的信心来源。 感谢我的朋友赵文凯、宋超以及赵超的慷慨帮助。 感谢博文出版社的毕宁老师对于我初次翻译所犯错误的宽容与理解! 丁赟唧 2011年2月于上海 VII 前言 “搞定了吗?”,这可能是在Immunity公司出现频率最高的一句话了。你也许会在类 似以下的场景中听到这样的发问:“我正要给ImmunityDebugger开发一个新的ELF加载 器”,片刻停顿之后,“搞定了吗?”或者,“我刚发现了I浏览器的一个Bug!”又一片 刻的沉寂之后,“那个漏洞利用程序搞定了吗?”在日常的安全项目中我们几乎无时无刻 地须要创建或者改写自己的安全工具,并在这些频繁的活动中始终保持高速的开发节奏, 这使得Python逐渐成为了这个舞台上的明星。你可以在下一个安全项目中选择Python 作为自己的开发工具,也许你将会用它来创建一个特殊的反编译器或者开发一个完整的 调试器。 当我走进位于南迈阿密海滩的AceHardware〔美国的一家连锁五金店),沿着摆放着螺 丝刀的通道走过时,常常会感到目眩。你会看到接近50多种不同规格的螺丝刀以整齐的顺 序陈列在货架上。每一种规格的螺丝刀都与紧邻的螺丝刀有着微小却又十分重要的区别。 我不是一个合格的修理能手,因此无法准确地说出每一种螺丝刀最为理想的使用场合,但 是我很确信类似的情况同样适用于我们的安全工具软件。尤其是当你在对Web类型或者其 他类型的高度定制化的应用程序进行安全审计时,你会发现每一次的审计任务都会需要 把特殊的“螺丝刀”来解决问题。要知道能够及时地拼凑出一些类似SQLAPI函数钩子之 类的安全小工具已经不止一次地拯救了Immunity的工作团队。当然这些工具并不仅仅适用 于安全审计任务,一旦你能够使用钩了函数对SQLAPI进行拦截,你就可以轻易地编写出 一个工具用于实时检测可疑的异常SQL查询,并及时向你的客户公司提供修复方案,以抵 御那些来自顽固黑客们的攻击。 众所周知,要让你的每一个安全研究人员真正成为团队的一部分是一件棘手的事情。 很多安全研究人员无论在面对何种类型的问题时,都怀揣着白手起家式的过度热情,企 图将需要借助的工具库完全重写。比如说Immunity发现了某个SSLDaemon的一个安全 漏洞,接下来很有可能发生的一件事就是,你突然发现你的某个安全研究人员居然正在 试图从头开始编写一个SSL客户端。而他们对此通常给出的解释是“我能找到的SSL库 都丑陋不堪” 你需要尽力避免这种情况发生。事实情况并不是现有的SSL库丑陋不堪——一它只是没 有按照某个安全研究人员的特别偏好风格来设计而已。而我们真正需要做的是能够深入分 析大量的现有代码,快速地发现问题所在,并对其进行修改以适应自身所需,这才是及时 地搭建出一个可用的SsL库,并用其开发出一个尚处于保鲜期内的漏洞利用程序的关键。 而要做到这一点,你需要使你的安全研究员们能够像一个真正的团队一样去工作。一个熟 练掌握了Python的安全研究人员就有了一个强大的武器,也许就像那些掌握了Ruby的安 全研究人员一样。然而Python真正的与众不同之处显现在那些Python狂热分子们协同工 作时,他们将犹如一个高速运转的超个体一样战斗力惊人。正如你家厨房中的蚂蚁大军 样,当它们的数量足够组成一只大乌贼时,要杀死它们将比杀死一只乌贼棘手得多。而这 正是本书极力告诉你的一个事实。 你也许已经为自己想做的事找到了一些工具。你也许会问:“我已经有了一套sual Studio,里面附带了一个调试器,为什么还要去编写一个供自己专用的调试器。”或者 “WinDbg不是有一个插件接口了吗?”答案是肯定的。WinDbg的确提供了插件接口,你 可以通过那些AP慢慢地拼凑出一些有用的东西。直到某一天你很可能又会说:“Heck, 如果我能和5000个WinDbg使用者互联该有多好啊,这样我们就可以互通各自的调试结果 了”。如果你从一开始就选择了Python,你只要写100行左右的代码就可以构建一个 ⅹML-RPC客户端与服务端,接下来整个团队可以同步地进行工作并使每个人及时地享有 他人的成果和信息。 黑客绝不等同于逆向工程——你的日标并不是还原出整个应用程序的源码。你的目标 是对软件系统获得比系统开发者自身更加深入的理解。一旦你能做到这一点,无论目标以 何种形式出现,你将最终成功地渗透它,获得炙手可热的漏洞利用(exploit)。这也意味着 你需要成为可视化、远程同步、图论、线性方程求解、静态分析技术以及其他很多方面的 专家。因此,Immunity决定将这些都标准化实现在Python平台上,这样一且我们编写了 个图论算法,这个算法将在我们所有的工具中通用。 在第6章中,Justin向你演示了如何使用一个钩子窃取Firefox浏览器中输入的用户名 与密码。这正是一个恶意软件作者所做的事—从之前的一些相关报道中可以看出,恶意 软件作者通常使用一些更为高级语言来编写此类程序(hp/philosecurityorg/200901/12/ interview-with-an-adware-author)然而你同样可以使用Python在15分钟内编写出一个样例 程序,用于向你的开发人员演示,让他们明白他们对自己的产品所做的安全假设并不成立。 现在的一些软件公司出于他们所声称的安全考虑,在保护软件内部数据方面的投资花费不 菲。而实际上他们所做的往往只是实现了一些版权保护和数字版权管理机制而已。 ①译者注:超个体就是那些只有依靠角色分工才能生存的群体,单独的个体将无法独立生存。蚂蚁社会 就是一个典型的超个体,DaveAitel同学的思维很发散 这正是本书试图教你的东西:快速创建安全工具的能力。你应当能够借助这种能力为 你个人或者整个团队带来成功。而这也是安全工具开发的未来:快速实现、快速修改,以 及快速互联。我想,最后你唯一剩下的问题也许就是:“搞定了吗?” Immunit!yine的创始人兼CTODavcAitcl 2009年2月于美国佛罗里达州,迈阿密海滩 致谢 我想借此机会感谢我的家人,对于他们在撰写本书过程中所表现出来的理解和支持。 感谢我的四个可爱的孩子;Emily、Carter、Cohen和Brady,是你们给了爸爸完成此书的理 由,我为拥有你们而感到无比幸福。我还要为我的姐姐和兄弟们在这个过程中所给予的鼓 励说一声谢谢,你们自己都曾经历过著书立作的严苛和艰辛,拥有你们这些对技术作品出 版感同身受的人真是受益匪浅——我爱你们。我还想对我的爸爸说,你的幽默感帮助我度 过了那些难以执笔为继的日子—我爱你,老爸,不要停止让你周围的人发出笑声。 多亏了一路上众多优秀的安仝研究人员的帮助才使得本书得以羽翼渐丰,他们是:Jared DeMott,Pedramamini,CodyPierce、Thomasheller(传说中的无敌Python男)以及Charlie Mler我欠你们大伙一个大大的感谢。至于Immunity团队,毫无疑问,你们一直以来 大度地支持着我来撰写此书,正是得益于你们的帮助,我不仅仅成长为一个Python小子, 同时更成为了一名真正的开发人员和安全技术研究者。Nco和Dami,抽出了额外的时间 来帮助我解决问题,对此表示不胜感激。DaveAitch,我的技术编辑,始终驱使着本书的进 度直仝完成,并确保本书的逻辑性与可读性,在此致以吳大的感谢。对于另一个Dave,Dave Falloon,非常感谢你为我校阅此书,对于那些让我自己都哭笑不得的错误,对于你在 CanSecWest大会上拯救了本人的笔记本电脑的英雄行径,以及你巫师一般神奇的网络知 识,都令我印象深刻。 最后,是那些总是被放在最后感谢的家伙们-NoStarch出版团队。Tyler与我经历了 本书的整个出版过程〔相信我,Tyler将是你遇到的最有耐心的家伙),Bil将鼓励声连同那 个可爱的印有Per小抄的咖啡杯赠予了我。Megan在本书创作的尾声阶段为我减轻了众多 的麻烦,还有其他为出版本书而工作在幕后的团队成员—谢谢你们!。我对你们为我所做 的每一件事充满感激。现在这篇致谢词的篇幅快要跟格菜美的获奖感言有一拼了,最后再 次说一声感谢给所有那些帮助过我,却可能被我忘记提及的朋友们一你们清楚自己之于 本书的意义。 Justinseitz 简介 我为了进行黑客技术研究而特地学习了Python这门语言,我敢断言在这个领域中的众 多其他同行们也是如此。我曾经花费了大量的时间来寻找一种能够同时适用于黑客技术和 逆向工程领域的编程语言,就在几年前,Python成为了黑客编程领域内显而易见的王者。 而一个不尽人如意的事实是,到目前为止还没有一本真正意义上的参考手册,来指导你将 Python应用于不同的黑客技术场景中。你往往需要游走于各大论坛的技术讨论帖子中或者 各种工具手册中。有时为了使你的工具能够正确地运转起来,花费一番不小的功夫来阅读 和调试源代码也是司空见惯的情况。而本书正是致力于填补这方面的空缺,将引领你经历 次“旋风”之旅你将看到Python这门语言是如何被应用在各式各样的黑客技术与逆 向工程场景中的。 本书将向你揭示隐癜在各种黑客工具背后的原理机制,其中包括:调试器、后门技术、 Fuzzer、仿真器以及代码注入技术,本书将向你一一演示如何驾驭这些技术工具。除了学 到如何使用现有的基于Python的工具之外,你还将学习如何使用Python构建自己的工具。 需要有言在先的一点就是,这并不是一本大全式的参考于册!有大量使月Python编写的信 息安全类工具未在此书中被提及。本书的信条是授之以渔,而非授之以鱼!你应当把从本 书中所获得的技能灵活地应用于其他的场景中,根据自身的需求对你选择的其他Python工 具进行调试,并做出扩展和定制 阅读本书的方式不仅限于一种,如果你是个Python新手或者对于构建黑客工具尚感陌 生,那么从前往后依次阅读对你来说是最好的选择,你将从最基本的理论开始,并在阅读 本书的过程中编写相当数量的Python代码。当你阅读完本书时,你应当具备了自行解决各 种黑客或逆向工程任务的能力。如果你对Python已有一定程度的了解,并且对cype库的 使用驾轻就熟,那么不妨直接跳过第1章。对于那些行业浸沉已久的老手,相信你们可以 在本书中来回穿梭自如,欢迎你们在日常工作中随时按需撷取本书中的代码片段或者相关 章节。 本书在调试器相关的内容上花费了相当的篇嗝,从第2章讲述调试器的基本原理开始, 直至第5章介绍完ImmunityDebugger为止。调试器对于任何一个真正的黑客而言都是至关 重要的工具,因此我毫不吝惜笔墨来对它们进行广泛而全面的介绍。在之后的第6章和第 7章中你将学到一些钩子和代码注入的技术,这些技术同样可以被调试器工具采用,作为 控制程序流和操纵内存的手段 本书接下来的焦点放在使用Fuzzer工具来攻破应用程序体系上。在第8章中,你将开 XIII. 始学习基本的Fuzzing技术理论,我们将构建自己的文件Fuzzing工具。第9章将向你演示 如何驾驭强大的Fuzzing框架—Sulley来攻破一个现实世界中的FtPdaemon程序。在第 10章中,你将学习如何构建一个Fuzzer工具来攻击Windows驱动 在第11章中,你将看到如何在IDAPro中(一款流行的二进制静态分析工具)实现自 动化执行静态分析任务。在第12章中,我们将介绍一款基于Python的仿真器—PyEmu, 来为本书画上句号。 我试着使出现在本书中的代码尽量简洁,并在某些特定的地方加上了详细的注释以帮 助你理解代码的本质。学习一门新的编程语言或者掌握一套陌生的函数库的过程少不了你 自己的亲身实践,以及不断的自我纠正。我鼓励你以手动的方式将本书中的源程序键入电 脑中!本书中出现的所有源码在htp/www.nostarch.com/ghpython.htm恭候你的光临。 现在让我们开始编码吧! Justinseitz XIV