加解密入門基礎知識

第一課逆向分析基礎知識

1.1 調用約定

在分析彙編代碼時老是要遇到無數的Call，對於這些Call，儘可能要根據Call以前傳遞的參數和Call的返回值來判斷Call的功能。傳遞參數的工做必須由函數調用者和函數自己來協調，計算機提供了一種被稱爲棧的數據結構來支持參數傳遞。

當參數個數多於一個時，按照什麼順序把參數壓入堆棧。函數調用後，由誰來把堆棧恢復。在高級語言中，經過函數調用約定來講明這兩個問題。常見的調用約定有：

http://bbs.pediy.com/upload/bbs/faq/call.gif

【例】按__stdcall約定調用函數test2(Par1, Par2)

push par2 ; 參數2
push par1 ; 參數1
call test2;
{
push ebp ; 保護現場原先的EBP指針
mov ebp, esp ; 設置新的EBP指針，指向棧頂
mov eax, [ebp+0C] ; 調用參數2
mov ebx, [ebp+08] ; 調用參數1
sub esp, 8 ; 若函數要用局部變量，則要在堆棧中留出點空間
…
add esp, 8 ; 釋放局部變量佔用的堆棧
pop ebp ; 恢復現場的ebp指針
ret 8 ; 返回（至關於ret; add esp,8）
}

其堆棧調用示意圖：

http://bbs.pediy.com/upload/bbs/faq/callesp.gif

資料
函數調用堆棧變化分析

1.2 局部變量

在子程序內部說明的變量稱爲局部變量，局部變量的做用域是其所在的子程序。從彙編角度來看，局部變量就是一個臨時堆棧緩存，用完釋放。
例如這個實例：附件:local.zip

其反彙編代碼以下（紅體字爲局部變量）：

00401000 >/$ 6A 04 push 4 ; /Arg2 = 00000004
00401002 |. 6A 03 push 3 ; |Arg1 = 00000003
00401004 |. E8 16000000 call 0040101F ; \Add.0040101F
00401009 |. 8BD8 mov ebx, eax
0040100B |. 6A 00 push 0 ; /ExitCode = 0
0040100D \. FF15 00204000 call [<&KERNEL32.ExitProcess>] ; \ExitProcess

0040101F /$ 55 push ebp ; 保護現場原先的EBP指針
00401020 |. 8BEC mov ebp, esp ; 設置新的EBP指針，指向棧頂
00401022 |. 83EC 04 sub esp, 4 ; 分配局部變量全部空間
00401025 |. 8B45 0C mov eax, [ebp+C] ; 調用參數2
00401028 |. 8B5D 08 mov ebx, [ebp+8] ; 調用參數1
0040102B |. 895D FC mov [ebp-4] , ebx ; 參數1放局部變量裏
0040102E |. 0345 FC add eax, [ebp-4] ; 參數2與局部變量相加
00401031 |. 83C4 04 add esp, 4 ; 釋放局部變量全部空間
00401034 |. 5D pop ebp ; 恢復現場的ebp指針
00401035 \. C2 0800 retn 8

1.3 返回值

在調試程序時，不要見Call就跟進，在Call以前所作的全部PUSH動做以及對寄存器的操做均可能是在給函數傳遞參數，而函數的返回值通常都放在EAX裏面，固然這個值多是一個指針，指向一個數據結構。從彙編角度來看，主要有以下形式：

1)經過寄存器返回函數值；
2)經過參數按引用方式返回函數值；
3)經過全局變量返回函數值；
4)經過處理器標誌返回函數值；
通常狀況下，由retrun操做符返回的值放在EAX寄存器之中，若是結果超過這個寄存器的位容量，那麼該結果的高32位會加載到EDX寄存器中。若是返回一個含有幾百個字節的結構或者一個近似大小的對象，編譯器會在不告訴程序的狀況下，給函數傳遞一個隱式參數，這個指針指向保存的返回結果。

1.4 啓動函數

在編寫Win32應用程序時，都必須在源碼裏實現一個WinMain函數。但Windows程序執行並非從WinMain函數開始的，首先被執行的是啓動函數相關代碼，這段代碼是編譯器生成的。啓動代碼完成初始化進程，再調用WinMain。標準編譯器一般包含啓動代碼在內的庫文件源碼，例如 Visual C++中，啓動代碼存放在CRT\SRC\crt0.c文件中。
全部的C/C++運行時啓動函數的做用基本都是相同的：檢索指向新進程的命令行指針，檢索指向新進程的環境變量指針，全局變量初始化，內存堆棧初始化等。當全部的初始化操做完畢後，啓動函數就調用應用程序的進入點函數。
調用WinMain以下所示：
GetStartupInfo (&StartupInfo);
Int nMainRetVal = WinMain(GetModuleHandle(NULL),NULL,pszCommandLineAnsi,(StartupInfo.dwFlags&STARTF_USESHOWWINDOW)?StartupInfo.wShowWindow:SW__SHOWDEFAULT);
當進入點返回時，啓動函數便調用C運行庫期的exit函數，將返回值（nMainRetVal）傳遞給它，進行一些必要處理，最後調用系統函數ExitProcess退出。其餘一些編譯器，如Delphi、BorLand C++開發包中都有相應的啓動代碼。
在絕大數狀況下，咱們對啓動代碼並不須要關心。對於逆向分析人員來講，首要的任務是找到Winmain函數。

WinMain函數原型以下：
int WINAPI WinMain(
HINSTANCE hInstance, // 當前實例的句柄
HINSTANCE hPrevInstance, // 前一個實例的句柄
LPSTR lpCmdLine, // 命令行的指針
int nCmdShow // 窗口的顯示狀態
);
其中參數hInstance通常經過GetModuleHandleA函數進行獲取的，這對識別WinMain函數有些幫助。另外，對WinMain的調用一般放在啓動函數代碼結尾部分，後面一般跟着諸如exit或XcptFilter以內的兩、三個函數。例以下面這段代碼：
.text:004010DC push eax ; nShowCmd
.text:004010DD push [ebp+lpCmdLine] ; lpCmdLine
.text:004010E0 push esi ; hPrevInstance
.text:004010E1 push esi ; lpModuleName
.text:004010E2 call ds:GetModuleHandleA
.text:004010E8 push eax ; hInstance
.text:004010E9 call WinMain(x,x,x,x)
.text:004010EE mov [ebp+var_60], eax
.text:004010F1 push eax ; int
.text:004010F2 call _exit

許多開發人員能夠獲得啓動源代碼的狀況下對啓動代碼進行修改，這樣，程序的執行可能不是從WinMain開始，而是從任何其餘的函數開始。

1.5 API函數

如今不少講Windows程序設計的書都是講基於MFC庫和OWL庫的Windows設計，對Windows實現的細節都鮮有討論，而調試程序都是和系統底層打交道，因此有必要掌握一些Win32 API函數的知識，這樣咱們可快捷地找出程序調用錯在哪？是哪一個參數出了問題。
Windows程序模塊包括KERNEL、USER和GDI，其中KERNEL完成內存管理、程序的裝入與執行和任務調度等功能，它須要調用原 MS?DOS中的文件管理、磁盤輸入輸出和程序執行等功能；USER是一個程序庫，它用來對聲音、時鐘、鼠標器及鍵盤輸入等操做進行管理；GDI是一功能十分豐富的子程序庫，它提供了圖形與文字輸出、圖象操做和窗口管理等各類與顯示和打印有關的功能。上述KERNEL、USER和GDI模塊中的庫函數可被應用程序調用，也可被其餘程序模塊調用。把包含庫函數的模塊稱爲輸出者（export）。你應明白爲何跟蹤軟件時常常在KERNEL32!.text和 USER32.text等系統領空轉的問題吧。

這裏列出幾個常常碰到的Win 32 API函數，它們都是存在Windows系統核心文件KERNEL32.DLL中和視窗管理文件USER32.DLL中。
Windows函數是區分字符集的：A表示ANSI，W表示Wide，即Unicode (Wide character-set)，前者就是一般使用的單字節方式，但這種方式處理象中文這樣的雙字節字符不方便，容易出現半個漢字的狀況。然後者是雙字節方式，方便處理雙字節字符。Windows的全部與字符有關的函數都提供兩種方式的版本。儘管你編程時使用GetWindowText，但實際上編譯程序會根據設置自動調用GetWindowTextA或 GetWindowTextW。函數的最後一個字母告訴咱們函數是使用單字節仍是雙字節字符串。

一、 Hmemcpy函數
void hmemcpy(hpvDest, hpvSource, cbCopy)
void _huge* hpvDest; // 目的數據地址
const void _huge* hpvSource; // 源數據地址
long cbCopy; // 數據大小 (Bytes)
這個函數在KERNEL32.DLL中，它很經常使用，俗稱萬能斷點，但通常的編程書籍上不多提到，緣由它是底層的東西，沒有特殊須要，通常不直接調用。但的確它是頗有用的！有意思的是它執行的操做很簡單，只是將內存中的一塊數據拷貝到另外一個地方。
注意：此函數只在Windows 9x系統上有效，在Win NT/2K系統上相關的函數是memcpy，但在Win NT/2K上不一樣於Windows 9x上，不多再調用memcpy來處理數據了，用此函數設斷基本上什麼也攔不住。

二、 GetWindowText函數
此函數在USER32.DLL用戶模塊中，它的做用是複製指定窗口中的字符到緩衝區。函數原型：
int GetWindowText(
HWND hWnd//欲獲取文字的那個窗口的句柄
LPTSTR lpString //預約義的一個緩衝區，至少有cch+1個字符大小；隨同學口文字載入
int nMaxCount//lpString緩衝區的長度
);
16位：GetWindowText
32位：GetWindowTextA，GetWindowTextW

三、 GetDlgItemText
此函數在USER32.DLL用戶模塊中，它的做用是返回對話框中某一個窗口的標題或文字。函數原型：
UINT GetDlgItemText(
HWND hDlg, // 對話框句柄
int nIDDlgItem, //控制標識符
LPTSTR lpString, / 預約義的一個字符緩衝區
int nMaxCount// 字符緩衝區的長度
);
16位：GetDlgItemText
32位：GetDlgItemTextA，GetDlgItemTextW

四、 MessageBox函數
此函數是在USER32.DLL用戶模塊中，它的做用建立、顯示和操做信息框。函數原型：
int MessageBox(
HWND hWnd, //窗口句柄
LPCTSTR lpText, // 信息框中文字的地址
LPCTSTR lpCaption, // 信息框標題地址
UINT uType // 信息框類型
);
16位：MessageBox
32位：MessageBoxA，MessageBoxW

學習API函數最好的資料就是《Windows程序設計》這本書，下面列出其餘一些參考資料：

API函數資料
Win32 API reference（推薦）
Windows API 函數手冊（774個Win32函數，中文）
常見斷點列表

其餘資料
Win32頭文件

第三課動態分析技術

所謂動態分析是利用調試器，如OllyDBG一步一步地單步執行軟件。常見的調試器有SoftICE，OllyDBG（簡稱OD）等。SoftICE是一款經典的調試工具，運行在Ring0級，能夠調試驅動。但平時調試的程序都是Ring3級，所以推薦你們用OllyDBG，這款工具上手容易，功能十分強大，如今論壇上的文章基本都是用OllyDBG來說解的。

3.1 OllyDBG調試器

OllyDBG工具下載
點擊此處下載OD

CCDebuger的OllyDBG入門教學
OllyDBG 入門系列（一）－認識OllyDBG
OllyDBG 入門系列（二）－字串參考
OllyDBG 入門系列（三）－函數參考
OllyDBG 入門系列（四）－內存斷點
OllyDBG 入門系列（五）－消息斷點及 RUN 跟蹤

名詞解釋
1.所謂領空，其實是指：在某一時刻，CPU 的 CS:IP(EIP) 所指向的某一段代碼的全部者所在的區域。

3.2 Olldbg常見問題

Q: OD中如何運行到光標所在處？
A: 將光標移到目標位置，按F4.

Q: 如何用OD修改可執行程序？
A：直接在反彙編代碼區更改,這時可使用匯編代碼更改,而後選中修改後的彙編代碼，右擊-->複製到可執行文件-->保存文件.

Q:OD中的代碼亂碼，如：
004365E0 >db 68 ; CHAR 'h'
004365E1 >db A4
004365E2 >db 7A ; CHAR 'z'
004365E3 >db E5
004365E4 >db B8
004365E5 >db E8
004365E6 >db BB

A:OD右鍵，"分析/從模板中刪除分析"，如不行，按Ctrl+A從新分析

Q:OD爲何刪除了斷點，從新加載的時候，這些斷點都會從新出現
A:設置ollydbg.ini，將配製文件裏改爲以下：Backup UDD files=1 (by kanxue)

Q：如何還原到OD到分析前的狀態?
A：右鍵分析/從模塊中刪除掃描

Q：什麼是UDD？
A：OllyDbg 把全部程序或模塊相關的信息保存至單獨的文件中，並在模塊從新加載時繼續使用。這些信息包括了標籤、註釋、斷點、監視、分析數據、條件等等

Q:OD的數據窗口顯示一個下劃線，是什麼意思？
A:重定位加下劃線［Underline fixups］，幾乎全部的DLL和一部分程序都包含重定位，這樣就能夠在內存中的不一樣基地址加載模塊了。當該項開啓時，CPU反彙編窗口或CPU數據窗口中的重定位地址都將添加下劃線。（xing_xsz）

Q：若是已經知道某一CALL的具體做用,可否把後面全部相同的CALL都改爲函數名形式?
A：好比 CALL 110000 此中已經知道110000是一個核心計算
則以下操做,讓光標停在CALL 110000 這個語句上,按回車鍵
會跳到110000的地址上去顯示,以後讓光標停在110000上,按
shift 和; (分號) 其實就是完成一個:(冒號)的動做,輸入
名稱,這回全部的調用110000處,都會顯示CALL 你剛纔輸入的
名稱了.(nig回答)

Q：用OD調試一些加殼程序，如Themida等，可能你會發現下斷後（包括硬件斷點），程序跑到斷點時，OD會出現假死現像。
A：打開OD配置文件ollydbg.ini，你會發現：Restore windows= 123346 //這個Restore windows可能會是一個很大的值
如今只須要將Restore windows＝0，從新用OD調試程序，假死問題就消失了。 (kanxue)

Q:ollydbg中如何調用pdb文件？
A:
pdb文件是VC++調試編譯生成的文件。由編譯器直接生成。
pdb文件要配合源文件使用。不一樣的源文件pdb文件不一樣。
用OD裝入可執行文件後，點擊CPU窗口中的註釋段可出現源碼。
不過不是全部的源碼均可以顯示的。VC++6.0如下均可以顯示。
還有一種不顯示的緣由是缺乏路徑。點擊OD主菜單的[查看]->[源文件]
若是[源碼]段出現(缺乏)字樣的話，說明此路徑的源碼是看不了的。設置正確的路徑就能夠了。
（nantz回答）

Q：運行A.exe，其會調用B.exe，若是用OD再附加B.exe，OD會死掉
A：
1.OD菜單，設置OD爲即時調試器；
2.將B.exe的入口改爲CC，即INT 3指令，同時記下原指令
3.運行A.exe，其調用B.exe，會致使異常，OD會自動啓動加載B.exe，此時你將INT 3指令恢復原指令。
4.到這步，你己能夠任意調試B.exe了(kanxue)

Q:用ollydbg調試的時候，斷住kernel32.dll系統函數，而後」執行到用戶代碼「，就能夠回到被調程序的代碼。但有時候卻回不來，不知道這又是爲何？
A:
多半是殺毒軟件（如卡巴對LoadLibraryA）Hook API入口代碼進入ring 0了，OllyDbg不能單步跟蹤，這種狀況下只要看堆棧返回地址，在返回地址上下端點，F9執行就能夠了。（cyclotron回答）

Q:OD的「複製可執行文件」後面沒有「全部修改」的菜單
A:OD識別代碼段範圍失敗後, 沒有複製all modifications的選項, 由於這個是複製代碼段內的修改的。（曾半仙回答）

Q:OD裏的patch窗口怎麼用？
A:patch窗口用來保存你在調試的程序中修改過的代碼的。好比你前面調試了一個程序，在OD中把某處的JE改爲了JMP，OD會在patch中記錄這個修改，你下次再從新載入程序時，就能在OD的patch窗口中看到你原來改動的代碼。按空格鍵就能夠激活patch，就是在OD中還把原來位置的JE改成JMP。這個只是在OD中做更改，並無實際保存到文件，主要是比較方便在OD中修改程序時測試。(CCDebuger回答)

OllyDBG技巧聚集
OllyDBG的命令行解釋
OllyDBG裏SHIFT+F4條件斷點用法篇
OllyDbg實用技巧六則
OllyDBG的教學-Run trace

3.3 Olldbg腳本教學

這部分有點難度，新手能夠跳過，等水平提升後回頭再學習。

OD腳本教學
認識ODbgScript
ODbgScript的命令
ODbgScript的腳本命令(2)
ODbgScript的注意事項和使用技巧

OllyScript v0.92中文幫助文檔
也談寫OllyScript腳本之Career和心聲