【嘟嘟资源网】0day安全:软件漏洞分析技术(第2版).pdf

关于安全技术人才
国内外对网络安全技术人才的需求量很大,精通缓冲区溢出攻击的安全专家可以在大型软
件公司轻易地获得高薪的安全咨询职位。
信息安全技术是一个对技术性要求极高的领域,除了扎实的计算机理论基础外,更重要的
是优秀的动手实践能力。在我看来,不懂二进制数据就无从谈起安全技术。
国内近年来对网络安全的重视程度正在逐渐增加,许多高校相继成立了“信息安全学院”或
者设立“网络安全专业”。科班出身的学生往往具有扎实的理论基础,他们通晓密码学知识、知
道 PKI 体系架构,但要谈到如何真刀实枪地分析病毒样本、如何拿掉 PE 上复杂的保护壳、如何
在二进制文件中定位漏洞、如何对软件实施有效的攻击测试……能够做到的人并不多。
虽然每年有大量的网络安全技术人才从高校涌入人力市场,真正能够满足用人单位需求的
却寥寥无几。捧着书本去做应急响应和风险评估是滥竽充数的作法,社会需要的是能够为客户
切实解决安全风险的技术精英,而不是满腹教条的阔论者。
我所认识的很多资深安全专家都并非科班出身,他们有的学医、有的学文、有的根本没有
学历和文凭,但他们却技术精湛,充满自信。
这个行业属于有兴趣、够执著的人,属于为了梦想能够不懈努力的意志坚定者。
关于“Impossible”与“I’m possible”
从拼写上看,“Impossible”与“I’m possible”仅仅相差一个用于缩写的撇号(apostrophe)。
学完本书之后,您会发现将“不可能(Impossible)”变为“可能(I’m possible)”的“关键(key
point)”往往就是那么简单的几个字节,本书将要讨论的就是在什么位置画上这一撇!
从语法上看,“Impossible”是一个单词,属于数据的范畴;“I’m possible”是一个句子,
含有动词(算符),可以看成是代码的范畴。学完本书之后,您会明白现代攻击技术的精髓就
是混淆数据和代码的界限,让系统错误地把数据当作代码去执行。
从意义上看,To be the apostrophe which changed “Impossible” into “I’m possible” 代表着人
类挑战自我的精神,代表着对理想执著的追求,代表着对事业全情的投入,代表着敢于直面惨
淡人生的豪情……而这一切正好是黑客精神的完美诠释——还记得在电影《Sword Fish(剑鱼
行动)》中,Stan 在那台酷毙的计算机前坚定地说:“Nothing is impossible”,然后开始在使用
Vernam 加密算法和 512 位密钥加密的网络上,挑战蠕虫的经典镜头吗?

于是我在以前所发表过的所有文章和代码中都加入了这个句子。尽管我的英语老师和不少
外国朋友提醒我,说这个句子带有强烈的“Chinglish”味道,甚至会引起 Native Speaker 的误
解,然而我最终还是决定把它写进书里。
虽然我不是莎士比亚那样的文豪,可以创造语言,发明修辞,用文字撞击人们的心灵,但
这句“Chinglish”的确能把我所要表达的含义精确地传递给中国人,这已足够。
关于本书
通常情况下,利用缓冲区溢出漏洞需要深入了解计算机系统,精通汇编语言乃至二进制的
机器代码,这足以使大多数技术爱好者望而却步。
随着时间的推移,缓冲区溢出攻击在漏洞的挖掘、分析、调试、利用等环节上已经形成了
一套完整的体系。伴随着调试技术和逆向工程的发展,Windows 平台下涌现出的众多功能强大
的 debug 工具和反汇编分析软件逐渐让二进制世界和操作系统变得不再神秘,这有力地推动了
Windows 平台下缓冲区溢出的研究。除此以外,近年来甚至出现了基于架构(Frame Work)的
漏洞利用程序开发平台,让这项技术的进入门槛大大降低,使得原本高不可攀的黑客技术变得
不再遥不可及。
遗憾的是,与国外飞速发展的高级黑客技术相比,目前国内还没有系统介绍 Windows 平台
下缓冲区溢出漏洞利用技术的专业书籍,而且相关的中文文献资料也非常匮乏。
本书将系统全面地介绍 Windows 平台软件缓冲区溢出漏洞的发现、检测、分析和利用等方
面的知识。
为了保证这些技术能够被读者轻松理解并掌握,本书在叙述中尽量避免枯燥乏味的大段理论
阐述和代码粘贴。概念只有在实践中运用后才能真正被掌握,这是我多年来求学生涯的深刻体会。
书中所有概念和方法都会在紧随其后的调试实验中被再次解释,实验和案例是本书的精髓所在。
从为了阐述概念而精心自制的漏洞程序调试实验到现实中已经造成很大影响的著名漏洞分析,每
一个调试实验都有着不同的技术侧重点,每一个漏洞利用都有自己的独到之处。
我将带领您一步一步地完成调试的每一步,并在这个过程中逐步解释漏洞分析思路。不管
您是网络安全从业人员、黑客技术发烧友、网络安全专业的研究生或本科生,如果您能够完成
这些分析实验,相信您的软件调试技术、对操作系统底层的理解等计算机能力一定会得到一次
质的飞跃,并能够对安全技术有一个比较深入的认识。

资源下载
下载价格2 龙纹银币
VIP免费

原文链接:https://duduziy.com/327.html,转载请注明出处。 郑重声明: 本站所有内容仅供大家参考、学习,不存在任何商业目的与商业用途。 若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。 我们不承担任何技术及版权问题,且不对任何资源负法律责任。 如遇到资源无法下载,请点击这里失效报错。失效报错提交后记得查看你的留言信息,24小时之内反馈信息。 如有侵犯您的版权,请给我们私信,我们会尽快处理,并诚恳的向你道歉!

0

评论0

显示验证码
没有账号?注册  忘记密码?