大牛wowocock的小故事！

chujunci

2006年，XXX工作时的座位坐在wowocock旁边。wowocock写代码的时候代码风格那叫一个乱。


满篇都是混乱型的命名、超级跨全工程的全局变量，诡异的跳转。


但是调程序却很牛，开着WinDbg,基本上不用看源码，也知道发生了什么。



因为不用看源码，所以看Windows内核原有的代码和看自己的代码基本没有太大的区别，只要别跟太远。这样就获得了远远超出一般只能看懂C语言的程序员的能力。许多问题没有前人的指点也可以自己解决。而且能做出很多别人做不出来的事来。


有时候碰到一些问题，比如说在WindowsXP有，但是Windows2000下没有的调用。一般人也就直接放弃了。但是他却会自己去跟踪了XP下调用的实现，然后在2000下写一个替代品出来。其实在安全软件领域，反汇编、自己patch、和crack早已经大行其道。无论你站在邪恶破坏的一方，还是站在正义安全的一方，都不得不这样做。因为应用层病毒的时代早就过去了，rootkit的时代到来了。


这里涉及的到其实是一个理解调试器里的汇编语言的能力的问题。你可以觉得那些rootkit牛人的技术有多强，他们知道很多对你来说闻所未闻的东西。但是实际上他们也可以对你说这其实很简单。因为答案就在调试器窗口里的那堆汇编里。


内核编程和应用编程的区别在于，内核总是运行在复杂的条件下。一个应用程序只要在自己的进程空间内放心大胆的跑就行了。就算出一点问题，程序崩溃了，问题当然是在这个进程之中了。让我们瓮中捉鳖吧。内核则不同。内核的代码可能运行在系统中所有的进程和线程环境下。而且是同时的。内核模块之间互相调用，和硬件交互。等待中断，发出指令让CPU进行种种“热身”。当问题发生，操作系统将会崩溃。WinDbg将会向您展示真正的天书，记载着Windows在最后崩溃瞬间的状况。OK,我们不是MS的程序员，不可能看到秒钟在停止前指向某一行C语言代码。唯一值得庆幸的是：它们曾今是C语言代码，只是经过编译了。


学习了wowowock多年的调试经验，我和他合写了那本在网上流传的《XXXX》。我个人感觉汇编在应用程序的编程中作用不大。因为应用编程环境相对简单，而且代码规模宏大得多。而内核往往是小巧而精致的。期望只懂C语言就搞定自己编写的内核模块中的BUG显得不太现实。当然我不排除有这样的可能。但是当我们宝刀在手，Windows内核的天书直接向我们放开阅读时，还有什么能难得住我们的呢？




PS：这是我无意间在网上看到的，就拿过来给大家一阅！就当个小故事看！

ujty

沙发~~慢慢看~~

22667999

360系统急救箱 大牛~

rsin

大肉鸡。绝对的大牛

lishaoyu007

3、禁止讨论与本版范畴无关的内容（版区为技术讨论区，所有非技术讨论帖均被认定为“无关内容”，处理、处罚由版主酌情考虑）

小心被移

22667999

lishaoyu007 发表于 2012-6-27 19:54

你纯表了 小心~

chujunci

rsin 发表于 2012-6-27 19:53
大肉鸡。绝对的大牛

大肉鸡？？？啥意思？

哈的189

大牛，膜拜。
怎么将他叫做“大肉鸡”呢？

22667999

chujunci 发表于 2012-6-27 20:02
大肉鸡？？？啥意思？

wowocock 大家都叫他 大肉鸡

chujunci

22667999 发表于 2012-6-27 20:03
wowocock 大家都叫他 大肉鸡

原来如此！