Windows逆向分析入门(二) |
您所在的位置:网站首页 › windows汇编逆向 › Windows逆向分析入门(二) |
前言 正向开发,是先写代码,再编译成软件。而逆向分析,到手的只有软件。从软件入手,推测对应的代码,需要了解一下编译之后的软件是怎么跑起来的。
软件运行过程 1、软件加载到内存。 2、CPU读取内存的指令。 3、根据指令,再读取数据,进行运算。 4、运算的过程,数据是存在CPU里面的寄存器。 5、运算过程,用到另一个功能,需要保存当前环境,存到堆栈。 (这里涉及操作系统和计算组成原理,大概了解,心里有底就好)
代码语言的变化 1、C/C++语言:高级语言,给人看的 2、汇编语言 :低级语言,给机器用的 (逆向分析,接触多是汇编语言, 需要自行学习下)
软件加载过程 磁盘 >>内存>>寄存器 1、代码编译成软件,先放在磁盘(C盘,D盘这些) 2、开始运行的时候,就会加载进内存(平时说的内存条) 3、真正运行的是在CPU(也就是所谓的芯片),里面存数据的地方叫寄存器。
软件的构成 软件的外部 包含:一个主要程序(exe后缀),多个独立库(dll后缀)。 内存一开始加载exe,有必要的时候,exe再把dll加载进内存来。
exe或者dll在内存的开始位置,叫做基址。(每次加载,随机放置,基址不固定) exe或者dll里面和基址的距离,叫做偏移。(每次加载,内部不变,偏移固定)
打个比喻:exe和dll相当小尺子,要放在内存这个大尺子上。 大尺子上只要有空位,小尺子就可以随便放。 小尺子不管怎么放,里面的刻度固定的。
软件的内部 软件 = 代码 + 数据 数据 = 静态数据 (数据不会变)+ 动态数据 (数据会改变) 动态数据 = 全局数据 (多个函数共用)+ 局部数据(单个函数私有)
代码和静态数据在软件运行过程不会改变,位置固定,可以方便使用。 全局数据,因为是共用的,位置固定,也可以方便使用。 所以这三种的偏移是不变的。
内存地址 = 基址 + 偏移。 基址可以用GetModuleHandle得知。 偏移又是不变的,内存地址也就可以算出来了 。
而偏移会变化的局部数据,就不能直接算出来了。 局部数据,是软件运行过程中,临时生成又销毁的。 所以要获取局部数据,只能在软件的运行过程进行拦截。(也就是所谓的HOOK)
逆向分析目的 逆向分析的两个目的 1、调用功能 2、获取数据
通过上面的原理可以知道 1、调用功能 代码是固定的,找到偏移,就可以调用。 2、获取数据 对于全局数据,找到偏移,就可以得到。 对于局部数据,需要拦截,才可以得到 。 (拦截的是代码,所以要找代码的偏移)
所以,逆向的核心点,是找固定的偏移。
下一篇,找偏移的方法。
参考资料(下功夫,基础扎实,逆向才顺手) 汇编:http://c.biancheng.net/asm/ 反汇编:《C++反汇编与逆向分析技术揭秘》 函数调用:https://blog.csdn.net/zhongguoren666/article/details/7586074?utm_source=blogxgwz6
工具和教程,放群里(163419350),方便交流。 实战代码也会放在github:https://github.com/KongKong20/WeChatPCHook |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |