逆向工程核心原理第二十章
"内嵌补丁"练习
"内嵌补丁"是"内嵌代码补丁"(Inline Code Patch)的简称,难以直接修改指定代码时,插入并运行被称为"洞穴代码"(Code Cave)的补丁代码后,对程序打补丁。常用于运行时压缩(或加密处理)而难以直接修改的情况。
《逆向工程核心原理》学习笔记10
《逆向工程核心原理》学习笔记9
《逆向工程核心原理》第十六章
基址重定位表
- PE在重定位过程会用到基址重定位表(Base Relocation Table)
PE重定位
向进程的虚拟内存加载PE文件(EXE/DLL/SYS)时,文件会被加载到PE头的ImageBase所指的地址处。若加载的是DLL(SYS)文件,且在ImageBase位置处已经加载了其他DLL(SYS)文件,那么PE装载器就会将其加载到其他未被占用的空间。这就涉及到PE文件重定位的问题,PE重定位是指PE文件无法加载到ImageBase所指位置,而是被加载到其他地址时,发生的一系列的处理问题。
使用SDK(Software Development Kit,软件开发工具包)或Visual C++创建的PE文件时,EXE默认的ImageBase为00400000,DLL默认的为ImageBase为10000000。此外使用DDK(Driver Development Kit,驱动开发工具包)创建的SYS文件默认的ImageBase为10000。
下图为DLL重定位示意图,A.DLL被加载到TEXT的10000000地址处。此后,B.DLL试图加载到相同地址(10000000)时,PE装载器将B.DLL加载到另一个尚未被占用的地址(3C000000)处。
《逆向工程核心原理》学习笔记8
《逆向工程核心原理》学习笔记7
《逆向工程核心原理》学习笔记6
逆向工程核心原理第十章
函数调用约定
函数调用约定是对函数调用时如何传递参数的一种约定
函数调用前会把各个参数逆序压入栈(因为栈是先进后出),栈是定义在进程中的一段内存空间,向低地址方向扩展,且其大小被记录在PE头中,进程运行时就确定了栈内存大小
函数执行完后,栈中参数如何处理?
不用管,因为只是临时存储在栈中,即使不在使用,清除相应的值也会浪费CPU资源,下一次向栈中存入其他值时会覆盖原来的值,因此函数执行完后不用管栈中参数
函数执行完后,ESP如何变化?
栈内存是固定的,ESP用来指示栈当前的位置,如果ESP指向栈底,则无法继续使用该栈。函数调用后如何处理ESP,这就是函数调用约定要解决的问题。
《逆向工程核心原理》学习笔记5
《逆向工程核心原理》学习笔记4
逆向工程核心原理第七章
准备阶段
软件:Ollydbg,visual studio community
使用visual studio创建一个名为StackFrame的c++控制台项目,粘入以下代码,然后运行生成x86(Win32)的StackFrame.exe文件
1
2
3
4
5
6
7
8
9
10
long add(long a, long b) {
long x = a, y = b;
return (x + y);
}
int main(int argc, char* argv[]) {
long a = 1, b = 2;
printf("%d\n", add(a, b));
return 0;
}
《逆向工程核心原理》学习笔记3
《逆向工程核心原理》学习笔记2
逆向工程核心原理第三章
准备阶段
软件:Ollydbg,visual studio community
使用visual studio创建一个名为LittleEndian的c++控制台项目,粘入以下代码,然后运行生成x86(Win32)的LittleEndian.exe文件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
BYTE b = 0x12;
WORD w = 0x1234;
DWORD dw = 0x12345678;
char str[] = "abcde";
int main()
{
byte lb = b;
WORD lw = w;
DWORD ldw = dw;
char* lstr = str;
return 0;
}