update

doc/6.1_Linuxtools.md

@@ -1,8 +1,118 @@
 # 6.1 更多 Linux 工具
 
+- [file](#file)
+- [edb](#edb)
+- [ltrace](#ltrace)
+- [md5sum](#md5sum)
+- [objdump](#objdump)
+- [readelf](#readelf)
+- [ssdeep](#ssdeep)
+- [strace](#strace)
 - [strings](#strings)
 - [xxd](#xxd)
 
+## <span id="file">file</span>
+**file**命令用来探测给定文件的类型。
+
+
+## <span id="edb">edb</span>
+**edb**是一个同时支持x86、x86-64的调试器。它主要向 OllyDbg 工具看齐，并可通过插件体系进行功能的扩充。
+
+
+## <span id="ltrace">ltrace</span>
+**ltrace**命令用于跟踪进程调用库函数的情况。
+
+#### 重要参数
+```text
+-f                  trace children (fork() and clone()).
+-p PID              attach to the process with the process ID pid.
+-S                  trace system calls as well as library calls.
+```
+
+
+## <span id="md5sum">md5sum</span>
+**md5sum**命令采用MD5报文摘要算法（128位）计算和检查文件的校验和。
+
+#### 重要参数
+```text
+-b, --binary         read in binary mode
+-c, --check          read MD5 sums from the FILEs and check them
+```
+
+
+## <span id="objdump">objdump</span>
+**objdump**命令是用查看目标文件或者可执行的目标文件的构成的gcc工具。
+
+#### 重要参数
+```text
+-d, --disassemble        Display assembler contents of executable sections
+-R, --dynamic-reloc      Display the dynamic relocation entries in the file
+```
+
+#### 常见用法
+结合使用 *objdump* 和 *grep*。
+```text
+objdump -d [executable] | grep -A 30 [function_name]
+```
+
+查找 **GOT** 表地址：
+```text
+objdump -R [binary] | grep [function_name]
+```
+
+从可执行文件中提取 **shellcode** (注意，在objdump中可能会删除空字节):
+```text
+for i in `objdump -d print_flag | tr '\t' ' ' | tr ' ' '\n' | egrep '^[0-9a-f]{2}$' ` ; do echo -n "\x$i" ; done
+```
+
+
+## <span id="readelf">readelf</span>
+**readelf**命令用来显示一个或者多个 elf 格式的目标文件的信息，可以通过它的选项来控制显示哪些信息。
+
+#### 重要参数
+```text
+-h --file-header       Display the ELF file header
+-l --program-headers   Display the program headers
+-S --section-headers   Display the sections' header
+-s --syms              Display the symbol table
+```
+
+#### 常见用法
+查找库中函数的偏移量，常用于**ret2lib**：
+```text
+readelf -s [path/to/library.so] | grep [function_name]
+```
+
+
+## <span id="ssdeep">ssdeep</span>
+模糊哈希算法又叫基于内容分割的分片分片哈希算法（context triggered piecewise hashing, CTPH），主要用于文件的相似性比较。
+
+#### 重要参数
+```text
+-m - Match FILES against known hashes in file
+-b - Uses only the bare name of files; all path information omitted
+```
+
+#### 常见用法
+```text
+ssdeep -b orginal.elf > hash.txt
+ssdeep -bm hash.txt modified.elf
+```
+
+
+## <span id="strace">strace</span>
+**strace**命令对应用的系统调用和信号传递的跟踪结果进行分析，以达到解决问题或者是了解应用工作过程的目的。
+
+#### 重要参数
+```text
+-o file        send trace output to FILE instead of stderr
+-c             count time, calls, and errors for each syscall and report summary
+-e expr        a qualifying expression: option=[!]all or option=[!]val1[,val2]...
+   options:    trace, abbrev, verbose, raw, signal, read, write, fault
+-p pid         trace process with process id PID, may be repeated
+```
+
+
 ## <span id="strings">strings</span>
 **strings**命令在对象文件或二进制文件中查找可打印的字符串。字符串是4个或更多可打印字符的任意序列，以换行符或空字符结束。strings命令对识别随机对象文件很有用。
 

doc/6.2_wintools.md

@@ -1,5 +1,9 @@
 # 6.1.2 更多 Windows 工具
 
 - [wxHexEditor](#wxhexeditor)
+- [PEview](#peview)
 
 ## <span id="wxhexeditor">wxHexEditor</span>
+
+
+## <span id="peview">PEview</span>

doc/6.3_books&blogs.md

@@ -6,5 +6,5 @@
 
 ## 书籍
 - Hacking: The Art of Exploitation, 2nd Edition by Jon Erickson
-- The Shellcoder's Handbook: Discovering and Exploiting
-Security Holes, 2nd Edition by Chris Anley et al
+- The Shellcoder's Handbook: Discovering and Exploiting Security Holes, 2nd Edition by Chris Anley et al
+- The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler 2nd Edition

doc/6.4_writeup.md

@@ -24,12 +24,12 @@
 - 五、高级篇
 
 - 六、附录
- - [6.1 更多 Linux 工具]
+ - [6.1 更多 Linux 工具](#6.1)
  - [6.2 更多 Windows 工具]
  - [6.3 博客、文章和书籍]
  - [6.4 习题 write-up]
 
-## 6.1 更多 Linux 工具
+## <span id="6.1">6.1 更多 Linux 工具</span>
 #### Strings - strings_crackme
 ```text
 [firmy@Reverse]$ strings -e L strings_crackme