逆向工程核心原理笔记

原创 于 2025-06-05 22:26:35 发布 · 1.8k 阅读 · 13
标签
#网络安全 #安全威胁分析 #系统安全

逆向工程核心原理笔记

1、大端序和小端序

大端序:高地址存地位,低地址存高位 , 代表Unix RISC CPU

小端序:低地址存低位,高地址存高位,代表 Intel x86 CPU

2、IA32 寄存器
  • 通用寄存器 EAX EBX ECX EDX ESP EBP ESI EDI
  • 段寄存器  CS  DS  SS  ES  FS GS
  • 程序状态与控制寄存器 EFLAGS 初级阶段 ZF OF CF
  • 指令指针寄存器 EIP
3、栈

栈是一个高地址向低地址增长的数据结构。

栈帧用EBP定位栈内元素,典型栈帧代码

push ebp
mov ebp,esp
....
mov esp,ebp
pop ebp
retn

修改OD栈的相关设置,可比较直观的看到当前元素相对于(栈底)EBP的位置

image-20230801160516200

image-20230801160535604

涉及到函数调用约定:Cdecl Stdcall fastcall

c 语言 (x86)

cdecl: 参数从右向左,调用者清理堆栈

stdcall:参数从右向左,子程序清理

fastcall: 参数ecx edx (R8 R9(x64)) ,剩下的参数从右向左,子程序清理

C++ 类

x86

thiscall: 参数从右向左,参数确定,this 通过ecx 传递,子程序清理,

​ 参数不定,this在所有参数入栈后压栈,调用者清理

x64

参数确定 参数1、参数2、参数3分别保存在RDX、R8D、R9D中,this指针存放RCX中,参数从右往左,子程序清理

 class A {
   
   
    public:
      int function1(int a, int b);
      int function2(int a, ...);
  }
  int A::function1(int a, int b) {
   
   
     return a + b;
  }
  int A::function2(int a, ...) {
   
   
     va_list ap;
     va_start(ap, a);
     int i;
     int result = 0;
     for (i=
最低0.47元/天 解锁文章
【学习笔记】《逆向工程核心原理》01-逆向分析Hello World程序
qq_55349490的博客
03-11 2330
即使程序运行时只占用100内存,它被加载到内存时仍然会分到1000左右的内存,这些内存一部分被程序占用,其余部分为空余区域,全部被填充为NULL。在内存的某个区域新建一个长字符串,并把新字符串的首地址传递给MessageBoxWO函数,可以认为传递的是完全不同的字符串地址。认真观察一个程序的功能后,我们能够大致推测出它在运行时调用的Win32API,若能进一步查找到调用的Win32API,所以,如果你的运气足够好,使用更长的字符串覆盖原字符串时,即使原字符串后面的部分空间被侵占,程序仍然能正常运行。
逆向工程核心原理》学习笔记7 UPack加壳
EloflyS的博客
03-01 1570
逆向工程核心原理》学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
逆向工程核心原理学习笔记(十二):分析abex' crackme #1
killcoco的小窝
04-28 1180
程序下载地址:http://t.cn/RX1wpX7 我们首先运行一下,看看提示什么: 我们初步推测,这个程序应该是判断磁盘是否运行在一个CD-ROM上。 为了验证我们的推测,我们拖进OD看一下。 我们现在可以划重点了: 这个重要的跳转是信息框提示什么内容的关键。 我
逆向工程核心原理读书笔记-代码注入
liujiayu2的专栏
06-09 1340
代码注入是一种向目标进程插入独立运行代码并使之运行的技术,它一般调用CreateRemoteThread()API以远程线程形式运行插入的代码,所以也被称为线程注入。 和DLL注入相比代码注入占用内存少并难以查找痕迹。所以DLL注入技术主要用在代码量大且复杂的时候,而代码注入技术则适用于代码量小且简单的情况比如shellcode。下面我们先测试一下代码。 运行notepad.e
逆向工程核心原理学习笔记(七):总结
killcoco的小窝
04-23 3492
首先就是上一节,我们尝试把修改后的代码保存后运行,发现不可以,。 这是由于我们修改的那部分缓冲区造成的。 可执行文件加大再到内存中兵役进程的形式运行并非原封不动的载入内存,而是遵循一定的规则进行,这一个过程中,进程的内存是的确存在的,但是文件偏移(offset)是不存在的,所以程序无法正常运行。 以后们们学习PE文件格式的时候就知道了。 下面总结一下这一章的
逆向工程核心原理》学习笔记(六):高级逆向分析技术
闵行小鱼塘
05-25 3190
继续学习《逆向工程核心原理》,本篇笔记是第六部分:高级逆向分析技术,包括TLS、TEB、PEB、SEH和IA-32指令等内容
逆向工程核心原理笔记(一)——Hello World-1
a1351937368的博客
04-25 2270
逆向工程核心原理笔记(一)——Hello World Ollydbg调试器指令 指令 快捷键 含义 Go to ctrl + G 移动到指定地址,用来查看代码或内存,运行时不可用 Execute till Cursor F4 执行到光标位置,也就是直接转到要调试的地址 Set/Reset Break Point F2 设置或者取消断点 Comment ; 添加注释 ...
逆向工程核心原理》学习笔记(三)
weixin_30583563的博客
03-21 105
逆向工程核心原理》学习笔记(三) 修改字符串的两种方法 1)直接修改字符串缓冲区 2)在其他内存区域生成新字符串并传递给消息函数。 1.直接修改字符串缓冲区 在dump窗口中ctrl+G使用goto指令,找到字符串helloworld,ctrl+e修改 注意:若新的字符串长度大于原字符串很可能造成数据覆盖导致内存引用错误。 在UN...
逆向工程核心原理》学习笔记5 PE文件学习——PE头核心IAT,EAT
EloflyS的博客
02-19 831
逆向工程核心原理》学习笔记5 PE头核心——IAT,EAT 1.IAT——导入地址表 用于记录程序正在使用哪些库的哪些函数的表格。
逆向工程核心原理》学习笔记4 PE文件学习——PE头总结
EloflyS的博客
02-16 432
逆向工程核心原理》学习笔记4 PE文件学习——PE头总结 1.DOS头 typedef struct _IMAGE_DOS_HEADER //DOS头 { WORD e_magic; //DOS signature :4D5A ("MZ",是确定的值, 被称为DOS签名,如果值被改变,程序无法运行) WORD e_cblp; WORD e_c...
1.关于逆向工程(《逆向工程核心原理笔记
qq_52658640的博客
09-26 1570
1.关于逆向工程 逆向工程一般指,通过分析物体、机械设备或系统,了解其结构、功能、行为等,掌握其中原理并改善其不足之处、添加新创意的一系列过程。 代码逆向工程逆向工程在软件领域中的应用。 逆向分析方法 逆向分析方法大致分为两种:静态分析和动态分析法。 静态分析法 静态分析是指在不执行程序的情况下,对代码进行分析。通过静态分析可以观察代码的特征结构,获取文件类型,大小,PE头信息、import/export API、内部字符串、是否运行时压缩、注册信息、调试信息、数字证书等信息。同时使用反编译工具查看程序
API HOOK 之调试HOOK hookdbg.exe源代码结构分析——《逆向工程核心原理》读书笔记
qq_41170946的博客
02-06 466
源代码 #include "windows.h" #include "stdio.h" LPVOID g_pfWriteFile = NULL; CREATE_PROCESS_DEBUG_INFO g_cpdi; BYTE g_chINT3 = 0xCC, g_chOrgByte = 0; BOOL OnCreateProcessDebugEvent(LPDEBUG_EVENT pde) { ...
逆向工程核心原理笔记(四)——栈
a1351937368的博客
05-09 590
逆向工程核心原理笔记(四)——堆栈 堆栈(Stack),是一种常用的数据结构类型名,我们可以将堆栈抽象为一种一个管子,我们可以向管子中投入豆子,那么很显然,最先投进去的豆子,一定是最后才能取出。 堆栈有两种最基本的操作:压入(Push)和弹出(Pop): ​ 压入:将数据放入堆栈顶端 ​ 弹出:将堆栈顶端的数据弹出 堆栈的特点和队列的特点有所不同,堆栈中元素满足先入后出,后入先出的特点,并且除了头尾的节点之外,堆栈中每个元素都有一个前驱和一个后继。 接下来我们通过在管子中存取豆子来理解什么是堆栈: 首先我们
逆向工程核心原理》学习笔记1
EloflyS的博客
02-11 516
逆向工程核心原理》学习笔记1 Hello world分析 打开ollydbg,打开下载好的helloworld.exe 右键在菜单中选择Search->All referenced text strings,找到helloworld的字符串 双击后就找到了MessageBox函数 ...
逆向工程核心原理学习笔记 1
weixin_44558065的博客
02-17 633
使用Visual C++可将cpp源代码生成exe可执行文件,Hex Editor可将二进制代码文件转换为十六进制代码文件,十六进制代码经过反汇编可转换为汇编代码(OD中的调试器Debugger). OllyDbg调试方法: 用OD打开一个exe程序,主要分为四个窗口,左上为代码窗口,右上为寄存器窗口,左下为数据窗口,右下为栈窗口. 代码窗口分为四栏,依次是地址,指令,反汇编代码,注释 调试器操作...
逆向工程核心原理笔记(六)——栈帧
a1351937368的博客
05-17 824
逆向工程核心原理笔记(六)——栈帧 1.栈帧 栈帧是利用 EBP (栈帧指针)寄存器访问栈内的局部变量,参数,函数返回地址等等的手段,通过前面的学习可以了解到,ESP 寄存器承担着栈顶部指针的作用,EBP 寄存器负责行使栈帧指针的职能。在程序运行的时候,ESP 寄存器的值随时变化,访问栈中函数的局部变量,参数的时候,如果按照 ESP 的值为基准编写程序将会十分困难,并且很难使 CPU 引用带准确的地址,所以在调用某个函数的时候,需要先把 ESP 的值作为基准点保存到 EBP 中,并且维持在函数内部,这样无论
逆向工程核心原理》学习笔记(二)
weixin_30586085的博客
03-16 163
逆向工程核心原理》学习笔记(一) 记录下OD快速查找指定代码的四种方法 例子为逆向工程核心原理(中第二章的helloword程序 0x01代码执行法 例子中需要查找的是main()函数中的MessageBoxW函数,在调试器中调制helloword程序时候(单步执行F8)时,main()函数中的MessageBoxW函数在某个时刻就会被调用执行。弹出消息对话框,显示hell...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hack_zzz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值