第1章　x86與x64　　1
1.1　寄存器組與數據類型　　1
1.2　指令集　　3
1.2.1　語法　　3
1.2.2　數據移動　　4
1.3　練習　　9
1.3.1　算術運算　　9
1.3.2　棧操作與函數調用　　11
1.4　練習　　14
1.5　係統機製　　21
1.5.1　地址轉換　　21
1.5.2　中斷與異常　　23
1.6　綜閤練習　　23
1.7　練習　　29
1.8　x64　　30
1.8.1　寄存器組與數據類型　　30
1.8.2　數據移動　　31
1.8.3　規範地址　　31
1.8.4　函數調用　　31
1.9　練習　　32
第2章　ARM　　33
2.1　基本特性　　34
2.2　數據類型與寄存器　　35
2.3　係統級控製與設置　　37
2.4　指令集介紹　　38
2.5　數據加載與存儲　　39
2.5.1　LDR與STR　　39
2.5.2　LDR的其他用途　　42
2.5.3　LDM與STM　　43
2.5.4　PUSH與POP　　46
2.6　函數與函數調用　　48
2.7　算術運算　　50
2.8　分支跳轉與條件執行　　51
2.8.1　Thumb狀態　　54
2.8.2　switch-case　　55
2.9　雜項　　56
2.9.1　JIT與SMC　　56
2.9.2　同步原語　　57
2.9.3　係統服務與機製　　57
2.9.4　指令　　59
2.10　綜閤練習　　59
2.11　下一步　　65
2.12　練習　　65
第3章　Windows內核　　73
3.1　Windows基礎　　73
3.1.1　內存布局　　73
3.1.2　處理器初始化　　74
3.1.3　係統調用　　77
3.1.4　中斷請求級　　88
3.1.5　內存池　　89
3.1.6　MDL　　90
3.1.7　進程與綫程　　90
3.1.8　執行上下文　　92
3.1.9　內核同步原語　　93
3.2　列錶　　94
3.2.1　實現細節　　94
3.2.2　綜閤練習　　100
3.2.3　練習　　104
3.3　異步與亂序執行　　108
3.3.1　係統綫程　　108
3.3.2　work item　　109
3.3.3　APC　　111
3.3.4　DPC　　114
3.3.5　定時器　　118
3.3.6　進程與綫程迴調　　120
3.3.7　完成例程　　120
3.4　I/O請求包　　122
3.5　驅動程序結構　　123
3.5.1　入口點　　124
3.5.2　驅動程序與設備對象　　125
3.5.3　IRP 處理　　126
3.5.4　用戶內核通信常用機製　　127
3.5.5　係統機製雜項　　128
3.6　綜閤練習　　130
3.6.1　x86後門程序實例　　131
3.6.2　x64後門程序實例　　145
3.7　下一步　　151
3.8　練習　　151
3.8.1　建立自信，鞏固知識　　152
3.8.2　探索與知識擴展　　153
3.8.3　驅動分析實戰　　155
第4章　調試與自動化　　156
4.1　調試工具與基本命令　　156
4.1.1　設置符號路徑　　157
4.1.2　調試器窗口　　158
4.1.3　錶達式求值　　158
4.1.4　流程控製與Debug 事件　　162
4.1.5　寄存器、內存與符號　　165
4.1.6　斷點　　173
4.1.7　查看進程與模塊　　175
4.1.8　雜項命令　　178
4.2　編寫調試工具腳本　　179
4.2.1　僞寄存器　　180
4.2.2　彆名　　182
4.2.3　語言　　187
4.2.4　腳本文件　　198
4.2.5　像使用函數一樣使用腳本　　201
4.2.6　調試腳本示例　　206
4.3　使用SDK　　212
4.3.1　概念　　213
4.3.2　編寫調試工具擴展　　216
4.4　有用的擴展、工具和資源　　218
第5章　代碼混淆　　220
5.1　混淆技術概覽　　221
5.1.1　混淆的本質：一個熱身例子　　 221
5.1.2　基於數據的混淆技術　　224
5.1.3　基於控製的混淆技術　　227
5.1.4　同時使用控製流與數據流混淆技術　　232
5.1.5　通過代碼模糊獲得安全性　　235
5.2　解混淆技術概述　　236
5.2.1　解混淆的本質：逆變換　　236
5.2.2　解混淆工具　　240
5.2.3　解混淆實踐　　254
5.3　案例研究　　267
5.3.1　第一印象　　267
5.3.2　分析處理函數語義　　269
5.3.3　符號執行　　271
5.3.4　完成挑戰　　272
5.3.5　最後的想法　　274
5.4　練習　　274
5.5　參考文獻　　274
附錄　實例名稱與相應的SHA1散列值　　278
· · · · · · (收起)