Reverse Core 第一部分 代码逆向技术基础

@date: 2016/10/14

《逆向工程核心原理》笔记 记录书中较重要的知识，方便回顾

ps. 因有一些逆向基础，所以我本来就比较熟悉的知识并未详细记录

第一章 关于逆向工程

目标，激情，谷歌 QAQ

第二章 逆向分析Hello World程序

VS2010 x86

1. 入口点 Entry Point

call 0040270c
jmp 0040104F            

1. 程序开头会有一段VC的启动函数(Stub Code)
2. OD的快捷键

ctrl+f2, f8, f7, f9, ctrl+f9(exec till return),f4(exec till cursor),ctrl+G(Go to)
光标选中+enter(preview call/jmp address)

1. 设置”大本营“

1.Goto命令
2.设置断点
3.注释（快捷键 ;）
4.标签（快捷键 :）

1. 快速查找指定代码的四种方法

1.代码执行法
2.字符串检索法
    直接在代码窗口右键查找参考字符串可能会找不到目标字符串，因为OD右键搜索只搜索当前模块
    可以在数据窗口中搜索字符串，或结合IDA使用
3.API检索法1: 在调用代码中设置断点
    右键->search for -> all intermodular calls(所有模块间调用)
4.API检索法2: 在API代码中设置断点
    右键->search for -> Name in all calls(所有模块中的名称)

1. 修改字符串的两种方法

1.直接修改字符串缓冲区
2.在其他内存区域新建字符串并传递给消息函数

第三章 小端序标记法

Intel x86 CPU采用小端序

第四章 IA-32寄存器基本讲解

IA-32 （Intel Architecture 32位）

通用寄存器: EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP

段寄存器 : CS,DS,SS,ES,FS,GS

程序状态与控制寄存器: EFLAGS

指令指针寄存器: EIP

E: extended 扩展

第五章 栈

栈由高地址向低地址增长

第六章 分析abex' crackme#1

汇编编写的程序

函数传参与基本堆栈操作

第七章 栈帧

ebp 栈帧指针

最新的编译器中都带有一个“优化” (Optimization)选项，使用该选项编译器简单的函数将不会生成栈帧

---------------------------  main ---------------------------------
call function_address == push eip+4, jump function_address
add esp,8
----------------------------  function  ---------------------------
push ebp
mov ebp, esp
sub esp, 8
...
mov esp, ebp
pop ebp
ret == pop eip

第八章 abex' crackme #2

VB程序 abexcm2-voiees.exex

VB使用名为MSVBVM60.dll的VB专用引擎（也称The Thunder Runtime Engine）

VB采用Windows操作系统的事件驱动方式工作，所以main()或WinMain()中并不存在用户代码（希望调试的代码），用户代码存在于各个事件处理程序（event handler）中。

EP:

jmp THunRTMain
push 401E14            =>  EP ,push ThunRTMain的参数RT_MainStruct结构体（地址为401E14）
call jmp.&ThunRTMain

以c++ string类一样，VB中string使用的是字符串对象，对象中存着指向Unicode字符串的指针，在OD数据窗口右键->Long->Address with ASCII，即可显示通过指针引用的字符串

Win32 API程序读取输入框字符串：GetWindowText, GetDlgItemText

第九章 Process Explorer

Windows下优秀的进程管理工具

《深入理解Windows操作系统》《Windows核心编程》

sysinternals

第十章 函数调用约定

函数调用后如何处理ESP，这是函数调用约定要解决的问题

1. cdecl

​ 主要是C语言中使用的方式，调用者负责处理栈

​ cdecl的好处在于，它可以像C语言的printf函数一样，向被调用函数传递长度可变的参数。这种长度可变的参数在其他调用约定中很难实现。

1. stdcall

​ 常用于Win32 API，被调用者清理栈

​ retn 8 == retn+pop 8字节

​ 虽然Win32 API是使用C语言编写的库，但是它使用的是stdcall方式，而不是C语言默认的cdecl方式，这是为了获得更好的兼容性，使C语言之外的其他语言（Delphi ,VB等）也能直接调用API

1. fastcall

​ 与stdcall方式基本相似，但通常使用寄存器去传递部分参数（前两个），前两个参数分别是用ECX，EDX传递

第十一章 视频讲座

去除消息框 -> 寻找注册码

VB中调用消息框的函数为MSVBVM50.rtcMsgBox

第十二章 如何学习代码逆向分析

目标 -> 积极心态 -> 感受乐趣 -> 检索 -> 最重要的是实践 -> 平和的心态