前言

　　正向开发，是先写代码，再编译成软件。而逆向分析，到手的只有软件。从软件入手，推测对应的代码，需要了解一下编译之后的软件是怎么跑起来的。

软件运行过程

　　1、软件加载到内存。

　　2、CPU读取内存的指令。

　　3、根据指令，再读取数据，进行运算。

　　4、运算的过程，数据是存在CPU里面的寄存器。

　　5、运算过程，用到另一个功能，需要保存当前环境，存到堆栈。

　　（这里涉及操作系统和计算组成原理，大概了解，心里有底就好）

代码语言的变化

　　1、C/C++语言：高级语言，给人看的

　　2、汇编语言   ：低级语言，给机器用的

　　（逆向分析，接触多是汇编语言， 需要自行学习下）

软件加载过程

　　磁盘 >>内存>>寄存器

　　1、代码编译成软件，先放在磁盘（C盘，D盘这些）

　　2、开始运行的时候，就会加载进内存（平时说的内存条）

　　3、真正运行的是在CPU（也就是所谓的芯片），里面存数据的地方叫寄存器。

软件的构成

　　软件的外部

　　　　包含：一个主要程序（exe后缀），多个独立库（dll后缀）。

　　　　内存一开始加载exe，有必要的时候，exe再把dll加载进内存来。

　　　　exe或者dll在内存的开始位置，叫做基址。（每次加载，随机放置，基址不固定）

　　　　exe或者dll里面和基址的距离，叫做偏移。（每次加载，内部不变，偏移固定）

　　　　打个比喻：exe和dll相当小尺子，要放在内存这个大尺子上。

　　　　大尺子上只要有空位，小尺子就可以随便放。

　　　　小尺子不管怎么放，里面的刻度固定的。

　　软件的内部

　　　　软件 = 代码 + 数据

　　　　数据 = 静态数据 （数据不会变）+ 动态数据 （数据会改变）

　　　　动态数据 =  全局数据 （多个函数共用）+ 局部数据（单个函数私有）

　　　　代码和静态数据在软件运行过程不会改变，位置固定，可以方便使用。

　　　　全局数据，因为是共用的，位置固定，也可以方便使用。

　　　　所以这三种的偏移是不变的。

　　　　内存地址 =  基址 + 偏移。

　　　　基址可以用GetModuleHandle得知。

　　　　偏移又是不变的，内存地址也就可以算出来了 。

　　　　而偏移会变化的局部数据，就不能直接算出来了。

　　　　局部数据，是软件运行过程中，临时生成又销毁的。

　　　　所以要获取局部数据，只能在软件的运行过程进行拦截。(也就是所谓的HOOK)

逆向分析目的

　　逆向分析的两个目的

　　　　1、调用功能

　　　　2、获取数据

　　通过上面的原理可以知道

　　　　1、调用功能

　　　　　　代码是固定的，找到偏移，就可以调用。

　　　　2、获取数据

　　　　　　对于全局数据，找到偏移，就可以得到。

　　　　　　对于局部数据，需要拦截，才可以得到 。

　　　　　　（拦截的是代码，所以要找代码的偏移）

　　所以，逆向的核心点，是找固定的偏移。

下一篇，找偏移的方法。

参考资料（下功夫，基础扎实，逆向才顺手）

汇编：http://c.biancheng.net/asm/

反汇编：《C++反汇编与逆向分析技术揭秘》

函数调用：https://blog.csdn.net/zhongguoren666/article/details/7586074?utm_source=blogxgwz6

工具和教程，放群里（163419350），方便交流。

实战代码也会放在github：https://github.com/KongKong20/WeChatPCHook