@date: 2016/10/14

《逆向工程核心原理》笔记 记录书中较重要的知识,方便回顾

ps. 因有一些逆向基础,所以我本来就比较熟悉的知识并未详细记录

第一章 关于逆向工程

目标,激情,谷歌 QAQ

第二章 逆向分析Hello World程序

VS2010 x86

  1. 入口点 Entry Point
call 0040270c
jmp 0040104F
  1. 程序开头会有一段VC的启动函数(Stub Code)
  2. OD的快捷键
ctrl+f2, f8, f7, f9, ctrl+f9(exec till return),f4(exec till cursor),ctrl+G(Go to)
光标选中+enter(preview call/jmp address)
  1. 设置”大本营“
1.Goto命令
2.设置断点
3.注释(快捷键 ;)
4.标签(快捷键 :)
  1. 快速查找指定代码的四种方法
1.代码执行法
2.字符串检索法
    直接在代码窗口右键查找参考字符串可能会找不到目标字符串,因为OD右键搜索只搜索当前模块
    可以在数据窗口中搜索字符串,或结合IDA使用
3.API检索法1: 在调用代码中设置断点
    右键->search for -> all intermodular calls(所有模块间调用)
4.API检索法2: 在API代码中设置断点
    右键->search for -> Name in all calls(所有模块中的名称)
  1. 修改字符串的两种方法
1.直接修改字符串缓冲区
2.在其他内存区域新建字符串并传递给消息函数

第三章 小端序标记法

Intel x86 CPU采用小端序

第四章 IA-32寄存器基本讲解

IA-32 (Intel Architecture 32位)

通用寄存器: EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP

段寄存器 : CS,DS,SS,ES,FS,GS

程序状态与控制寄存器: EFLAGS

指令指针寄存器: EIP

E: extended 扩展

第五章 栈

栈由高地址向低地址增长

第六章 分析abex' crackme#1

汇编编写的程序

函数传参与基本堆栈操作

第七章 栈帧

ebp 栈帧指针

最新的编译器中都带有一个“优化” (Optimization)选项,使用该选项编译器简单的函数将不会生成栈帧

---------------------------  main ---------------------------------
call function_address == push eip+4, jump function_address
add esp,8

----------------------------  function  ---------------------------
push ebp
mov ebp, esp
sub esp, 8
...
mov esp, ebp
pop ebp
ret == pop eip

第八章 abex' crackme #2

VB程序 abexcm2-voiees.exex

VB使用名为MSVBVM60.dll的VB专用引擎(也称The Thunder Runtime Engine)

VB采用Windows操作系统的事件驱动方式工作,所以main()或WinMain()中并不存在用户代码(希望调试的代码),用户代码存在于各个事件处理程序(event handler)中。

EP:

jmp THunRTMain
push 401E14            =>  EP ,push ThunRTMain的参数RT_MainStruct结构体(地址为401E14)
call jmp.&ThunRTMain

以c++ string类一样,VB中string使用的是字符串对象,对象中存着指向Unicode字符串的指针,在OD数据窗口右键->Long->Address with ASCII,即可显示通过指针引用的字符串

Win32 API程序读取输入框字符串:GetWindowText, GetDlgItemText

第九章 Process Explorer

Windows下优秀的进程管理工具

《深入理解Windows操作系统》《Windows核心编程》

sysinternals

第十章 函数调用约定

函数调用后如何处理ESP,这是函数调用约定要解决的问题

  1. cdecl

​ 主要是C语言中使用的方式,调用者负责处理栈

​ cdecl的好处在于,它可以像C语言的printf函数一样,向被调用函数传递长度可变的参数。这种长度可变的参数在其他调用约定中很难实现。

  1. stdcall

​ 常用于Win32 API,被调用者清理栈

​ retn 8 == retn+pop 8字节

​ 虽然Win32 API是使用C语言编写的库,但是它使用的是stdcall方式,而不是C语言默认的cdecl方式,这是为了获得更好的兼容性,使C语言之外的其他语言(Delphi ,VB等)也能直接调用API

  1. fastcall

​ 与stdcall方式基本相似,但通常使用寄存器去传递部分参数(前两个),前两个参数分别是用ECX,EDX传递

第十一章 视频讲座

去除消息框 -> 寻找注册码

VB中调用消息框的函数为MSVBVM50.rtcMsgBox

第十二章 如何学习代码逆向分析

目标 -> 积极心态 -> 感受乐趣 -> 检索 -> 最重要的是实践 -> 平和的心态

Reverse Core 第一部分 代码逆向技术基础的更多相关文章

  1. PC逆向之代码还原技术,第一讲基本数据类型在内存中的表现形式.浮点,指针寻址公式

    目录 代码还原技术 一丶简介代码还原 二丶代码还原中的数据类型表现形式 1.整数类型 2.无符号整数 3.有符号整数 4.浮点数数据类型 5.浮点编码 4.Double类型解析. 三丶浮点汇编 1.浮 ...

  2. JNI技术基础(2)——从零开始编写JNI代码

    书接上文: <JNI技术基础(1)——从零开始编写JNI代码> 2.编译源程序HelloWorld.java并生成HelloWorld.class 3.生成头文件HelloWorld.h ...

  3. PC逆向之代码还原技术,第五讲汇编中乘法的代码还原

    目录 PC逆向之代码还原技术,第五讲汇编中乘法的代码还原 一丶简介乘法指令 1.乘法指令 2.代码还原注意问题 二丶乘法的汇编代码产生的格式 1.高级代码观看 2.乘法的汇编代码还原. 三丶乘法总结 ...

  4. PC逆向之代码还原技术,第四讲汇编中减法的代码还原

    目录 PC逆向之代码还原技术,第四讲汇编中减法的代码还原 一丶汇编简介 二丶高级代码对应汇编观看. 1.代码还原解析: 三丶根据高级代码IDA反汇编的完整代码 四丶知识总结 PC逆向之代码还原技术,第 ...

  5. PC逆向之代码还原技术,第三讲汇编中加法的代码还原

    目录 PC逆向之代码还原技术,第三讲汇编中加法的代码还原 一丶汇编简介 二丶高级代码对应汇编观看. 1.代码还原解析: 总结 PC逆向之代码还原技术,第三讲汇编中加法的代码还原 一丶汇编简介 在讲解加 ...

  6. Android Studio 单刷《第一行代码》系列 03 —— Activity 基础

    前情提要(Previously) 本系列将使用 Android Studio 将<第一行代码>(书中讲解案例使用Eclipse)刷一遍,旨在为想入坑 Android 开发,并选择 Andr ...

  7. PC逆向之代码还原技术,第二讲寻找程序入口点

    PC逆向之代码还原技术,第二讲寻找程序入口点 一丶简介 程序逆向的时候.我们需要知道程序入口点.动态分析的时候以便于看是什么程序编写的. 比如VC++6.0 我们可以写一个程序测试一下 我们写一段代码 ...

  8. Android Studio 单刷《第一行代码》系列 05 —— Fragment 基础

    前情提要(Previously) 本系列将使用 Android Studio 将<第一行代码>(书中讲解案例使用Eclipse)刷一遍,旨在为想入坑 Android 开发,并选择 Andr ...

  9. Android逆向-Android基础逆向(5)

    本文作者:i春秋作家——HAI_ 0×00 前言 不知所以然,请看 Android逆向-Android基础逆向(1)Android逆向-Android基础逆向(2)Android逆向-Android基 ...

随机推荐

  1. BZOJ3944 Sum

    本文版权归ljh2000和博客园共有,欢迎转载,但须保留此声明,并给出原文链接,谢谢合作. 本文作者:ljh2000 作者博客:http://www.cnblogs.com/ljh2000-jump/ ...

  2. windows下mysql数据库定时备份。

    注意:看本教程先必须会windows自带的"任务计划程序". 首先创建一个bat后缀的文件我的是timerExecutePhp.bat文件 timerExecutePhp.bat ...

  3. HTML之CSS学习

    学前预备 <!DOCTYPE html> <html> <head> <title>标题</title> <meta charset= ...

  4. Yii2.0 对的一些简单的操作

    1: 此方法返回 ['name' => 'daxia'] 的所有数据: User::find()->where(['name' => 'daxia'])->all(); 2: ...

  5. 如何正确配置Nginx+PHP

    对很多人而言,配置Nginx+PHP无外乎就是搜索一篇教程,然后拷贝粘贴.听上去似乎也没什么问题,可惜实际上网络上很多资料本身年久失修,漏洞百出,如果大家不求甚解,一味的拷贝粘贴,早晚有一天会为此付出 ...

  6. 为什么不用rxjava?

    rxjava等系列产品.思想是很好的,但是被大多数人用成了一坨屎! 就拿rx最经典的那个例子来说: 假设有这样一个需求:界面上有一个自定义的视图 imageCollectorView ,它的作用是显示 ...

  7. MongoDB【第二篇】MongoDB逻辑与物理存储结构

    基本的操作 一.常用的命令和基础知识 1.进入MongoDB sehll 首先我们进入到MongoDB所在目录执行 cd /work/app/mongodb/bin/ #启动 ./mongo 为了方便 ...

  8. 基于tomcat与Spring的实现差异化配置方案

    起因 在实际开发过程中经常需要加载各种各样的配置文件..比如数据库的用户名密码,要加载的组件,bean等等..但是这种配置在各个环境中经常是不一样的....比如开发环境和测试环境,真实的生产环境.. ...

  9. 室内定位系列(一)——WiFi位置指纹(译)

    原文:<Advanced Location-Based Technologies and Services>--chapter 2 WiFi Location Fingerprint 作者 ...

  10. 库AFNetworking的使用

    库AFNetworking的使用 1.GET请求(html,json,xml) #pragma mark -GET请求 -(void)testGetRequset{ NSString *urlStri ...