第1章 x86 與x64
1.1 寄存器組與數據類型
1.2 指令集
1.2.1 語法
1.2.2 數據移動
1.3 練習
1.3.1 算術運算
1.3.2 棧操作與函數調用
1.4 練習
1.5 系統機制
1.5.1 地址轉換
1.5.2 中斷與異常
1.6 綜合練習
1.7 練習
1.8 x64
1.8.1 寄存器組與數據類型
1.8.2 數據移動
1.8.3 規范地址
1.8.4 函數調用
1.9 練習
第2章 ARM
2.1 基本特性
2.2 數據類型與寄存器
2.3 系統級控制與設置
2.4 指令集介紹
2.5 數據加載與存儲
2.5.1 LDR 與STR
2.5.2 LDR 的其他用途
2.5.3 LDM 與STM
2.5.4 PUSH 與POP
2.6 函數與函數調用
2.7 算術運算
2.8 分支跳轉與條件執行
2.8.1 Thumb 狀態
2.8.2 switch—case
2.9 雜項
2.9.1 JIT 與SMC
2.9.2 同步原語
2.9.3 系統服務與機制
2.9.4 指令
2.10 綜合練習
2.11 下一步
2.12 練習
第3章 Windows 內核
3.1 Windows 基礎
3.1.1 內存布局
3.1.2 處理器初始化
3.1.3 系統調用
3.1.4 中斷請求級
3.1.5 內存池
3.1.6 MDL
3.1.7 進程與線程
3.1.8 執行上下文
3.1.9 內核同步原語
3.2 列表
3.2.1 實現細節
3.2.2 綜合練習
3.2.3 練習
3.3 異步與亂序執行
3.3.1 系統線程
3.3.2 work item
3.3.3 APC
3.3.4 DPC
3.3.5 定時器
3.3.6 進程與線程回調
3.3.7 完成例程
3.4 I/O 請求包
3.5 驅動程序結構
3.5.1 入口點
3.5.2 驅動程序與設備對象
3.5.3 IRP 處理
3.5.4 用戶—內核通信常用機制
3.5.5 系統機制雜項
3.6 綜合練習
3.6.1 x86后門程序實例
3.6.2 x64后門程序實例
3.7 下一步
3.8 練習
3.8.1 建立自信,鞏固知識
3.8.2 探索與知識擴展
3.8.3 驅動分析實戰
第4章 調試與自動化
4.1 調試工具與基本命令
4.1.1 設置符號路徑
4.1.2 調試器窗口
4.1.3 表達式求值
4.1.4 流程控制與Debug事件
4.1.5 寄存器、內存與符號
4.1.6 斷點
4.1.7 查看進程與模塊
4.1.8 雜項命令
4.2 編寫調試工具腳本
4.2.1 偽寄存器
4.2.2 別名
4.2.3 語言
4.2.4 腳本文件
4.2.5 像使用函數一樣使用腳本
4.2.6 調試腳本示例
4.3 使用SDK
4.3.1 概念
4.3.2 編寫調試工具擴展
4.4 有用的擴展、工具和資源
第5章 代碼混淆
5.1 混淆技術概覽
5.1.1 混淆的本質:一個熱身例子
5.1.2 基於數據的混淆技術
5.1.3 基於控制的混淆技術
5.1.4 同時使用控制流與數據流混淆技術
5.1.5 通過代碼模糊獲得安全性
5.2 解混淆技術概述
5.2.1 解混淆的本質:逆變換
5.2.2 解混淆工具
5.2.3 解混淆實踐
5.3 案例研究
5.3.1 第一印象
5.3.2 分析處理函數語義
5.3.3 符號執行
5.3.4 完成挑戰
5.3.5 最后的想法
5.4 練習
5.5 參考文獻
附錄 實例名稱與相應的SHA1散列值
