加解密入门基础知识

第一课 逆向分析基础知识
 
1.1 调用约定 
 
在分析汇编代码时总是要遇到无数的Call，对于这些Call，尽量要根据Call之前传递的参数和Call的返回值来判断Call的功能。传递参数的工作必须由函数调用者和函数本身来协调，计算机提供了一种被称为栈的数据结构来支持参数传递。
 
当参数个数多于一个时，按照什么顺序把参数压入堆栈。函数调用后，由谁来把堆栈恢复。在高级语言中，通过函数调用约定来说明这两个问题。常见的调用约定有：
 
 
 
 
【例】按__stdcall约定调用函数test2(Par1, Par2) 
 
 
push par2 ; 参数2
push par1 ; 参数1
call test2;
{
push ebp ; 保护现场原先的EBP指针
mov ebp, esp ; 设置新的EBP指针，指向栈顶
mov eax, [ebp+0C] ; 调用参数2
mov ebx, [ebp+08] ; 调用参数1
sub esp, 8 ; 若函数要用局部变量，则要在堆栈中留出点空间
…
add esp, 8 ; 释放局部变量占用的堆栈
pop ebp ; 恢复现场的ebp指针
ret 8 ; 返回（相当于ret; add esp,8）
}
 
 
其堆栈调用示意图：
 

资料  
函数调用堆栈变化分析

1.2 局部变量 
 
在子程序内部说明的变量称为局部变量，局部变量的作用域是其所在的子程序。从汇编角度来看，局部变量就是一个临时堆栈缓存，用完释放。
例如这个实例：附件:local.zip 
 
其反汇编代码如下（红体字为局部变量）：
 
00401000 >/$ 6A 04 push 4 ; /Arg2 = 00000004
00401002 |. 6A 03 push 3 ; |Arg1 = 00000003
00401004 |. E8 16000000 call 0040101F ; \Add.0040101F
00401009 |. 8BD8 mov ebx, eax
0040100B |. 6A 00 push 0 ; /ExitCode = 0
0040100D \. FF15 00204000 call [<&KERNEL32.ExitProcess>] ; \ExitProcess
 
 
0040101F /$ 55 push ebp ; 保护现场原先的EBP指针
00401020 |. 8BEC mov ebp, esp ; 设置新的EBP指针，指向栈顶
00401022 |. 83EC 04 sub esp, 4 ; 分配局部变量所有空间
00401025 |. 8B45 0C mov eax, [ebp+C] ; 调用参数2
00401028 |. 8B5D 08 mov ebx, [ebp+8] ; 调用参数1
0040102B |. 895D FC mov [ebp-4] , ebx ; 参数1放局部变量里
0040102E |. 0345 FC add eax,[ebp-4] ; 参数2与局部变量相加
00401031 |. 83C4 04 add esp, 4 ; 释放局部变量所有空间
00401034 |. 5D pop ebp ; 恢复现场的ebp指针
00401035 \. C2 0800 retn 8
 
 
1.3 返回值 
 
在调试程序时，不要见Call就跟进，在Call之前所做的所有PUSH动作以及对寄存器的操作都可能是在给函数传递参数，而函数的返回值一般都放在EAX里面，当然这个值可能是一个指针，指向一个数据结构。从汇编角度来看，主要有如下形式：
 
1)通过寄存器返回函数值；
2)通过参数按引用方式返回函数值；
3)通过全局变量返回函数值；
4)通过处理器标志返回函数值；
一般情况下，由retrun操作符返回的值放在EAX寄存器之中，如果结果超过这个寄存器的位容量，那么该结果的高32位会加载到EDX寄存器中。 如果
返回一个含有几百个字节的结构或者一个近似大小的对象，编译器会在不告诉程序的情况下，给函数传递一个隐式参数，这个指针指向保存的返回结果。
 
 
1.4 启动函数 
 
在编写Win32应用程序时，都必须在源码里实现一个WinMain函数。但Windows程序执行并不是从WinMain函数开始的，首先被执行的是启
动函数相关代码，这段代码是编译器生成的。启动代码完成初始化进程，再调用WinMain。标准编译器通常包含启动代码在内的库文件源码，例如
Visual C++中，启动代码存放在CRT\SRC\crt0.c文件中。
所有的C/C++运行时启动函数的作用基本都是相同的：检索指向新进程的命令行指针，检索指向新进程的环境变量指针，全局变量初始化，内存堆栈初始化等。当所有的初始化操作完毕后，启动函数就调用应用程序的进入点函数。
调用WinMain如下所示：
GetStartupInfo (&StartupInfo);
Int nMainRetVal = WinMain(GetModuleHandle(NULL),NULL,pszCommandLineAnsi,(StartupInfo.dwFlags&STARTF_USESHOWWINDOW)?StartupInfo.wShowWindow:SW__SHOWDEFAULT);
当进入点返回时，启动函数便调用C运行库期的exit函数，将返回值（nMainRetVal）传递给它，进行一些必要处理，最后调用系统函数ExitProcess退出。 其他一些编译器，如Delphi、BorLand C++开发包中都有相应的启动代码。
在绝大数情况下，我们对启动代码并不需要关心。 对于逆向分析人员来说，首要的任务是找到Winmain函数。 
 
WinMain函数原型如下：
int WINAPI WinMain(
HINSTANCE hInstance, // 当前实例的句柄
HINSTANCE hPrevInstance, // 前一个实例的句柄 
LPSTR lpCmdLine, // 命令行的指针 
int nCmdShow // 窗口的显示状态
); 
其中参数hInstance一般通过GetModuleHandleA函数进行获取的，这对识别WinMain函数有些帮助。另外，对WinMain的调
用通常放在启动函数代码结尾部分，后面通常跟着诸如exit或XcptFilter之内的两、三个函数。例如下面这段代码：
.text:004010DC push eax ; nShowCmd
.text:004010DD push [ebp+lpCmdLine] ; lpCmdLine
.text:004010E0 push esi ; hPrevInstance
.text:004010E1 push esi ; lpModuleName
.text:004010E2 call ds:GetModuleHandleA
.text:004010E8 push eax ; hInstance
.text:004010E9 call WinMain(x,x,x,x)
.text:004010EE mov [ebp+var_60], eax
.text:004010F1 push eax ; int
.text:004010F2 call _exit
 
许多开发人员可以得到启动源代码的情况下对启动代码进行修改，这样，程序的执行可能不是从WinMain开始，而是从任何其他的函数开始。
 
1.5 API函数 
 
现在很多讲Windows程序设计的书都是讲基于MFC库和OWL库的Windows设计，对Windows实现的细节都鲜有讨论，而调试程序都是和系统
底层打交道，所以有必要掌握一些Win32 API函数的知识，这样我们可快捷地找出程序调用错在哪？是哪个参数出了问题。
Windows程序模块包括KERNEL、USER和GDI，其中KERNEL完成内存管理、程序的装入与执行和任务调度等功能，它需要调用原
MS?DOS中的文件管理、磁盘输入输出和程序执行等功能；USER是一个程序库，它用来对声音、时钟、鼠标器及键盘输入等操作进行管理；GDI是一功能
十分丰富的子程序库，它提供了图形与文字输出、图象操作和窗口管理等各种与显示和打印有关的功能。上述KERNEL、USER和GDI模块中的库函数可被
应用程序调用，也可被其他程序模块调用。把包含库函数的模块称为输出者（export）。你应明白为什么跟踪软件时经常在KERNEL32!.text和
USER32.text等系统领空转的问题吧。
 
这里列出几个经常碰到的Win 32 API函数，它们都是存在Windows系统核心文件KERNEL32.DLL中和视窗管理文件USER32.DLL中。
Windows函数是区分字符集的：A表示ANSI，W表示Wide，即Unicode (Wide character-set)，前者就是通常使用的
单字节方式，但这种方式处理象中文这样的双字节字符不方便，容易出现半个汉字的情况。而后者是双字节方式，方便处理双字节字符。Windows的所有与字
符有关的函数都提供两种方式的版本。尽管你编程时使用GetWindowText，但实际上编译程序会根据设置自动调用GetWindowTextA或
GetWindowTextW。函数的最后一个字母告诉我们函数是使用单字节还是双字节字符串。
 
1、 Hmemcpy函数
void hmemcpy(hpvDest, hpvSource, cbCopy) 
void _huge* hpvDest; // 目的数据地址 
const void _huge* hpvSource; // 源数据地址 
long cbCopy; // 数据大小 (Bytes) 
这个函数在KERNEL32.DLL中，它很常用，俗称万能断点，但一般的编程书籍上很少提到，原因它是底层的东西，没有特殊需要，一般不直接调用。但的确它是很有用的！有意思的是它执行的操作很简单，只是将内存中的一块数据拷贝到另一个地方。
注意：此函数只在Windows 9x系统上有效，在Win NT/2K系统上相关的函数是memcpy，但在Win NT/2K上不同于Windows 9x上，很少再调用memcpy来处理数据了，用此函数设断基本上什么也拦不住。
 
2、 GetWindowText函数
此函数在USER32.DLL用户模块中，它的作用是复制指定窗口中的字符到缓冲区。函数原型：
int GetWindowText(
HWND hWnd//欲获取文字的那个窗口的句柄 
LPTSTR lpString //预定义的一个缓冲区，至少有cch+1个字符大小；随同窗口文字载入 
int nMaxCount//lpString缓冲区的长度
);
16位：GetWindowText
32位：GetWindowTextA，GetWindowTextW
 
3、 GetDlgItemText
此函数在USER32.DLL用户模块中，它的作用是返回对话框中某一个窗口的标题或文字。函数原型：
UINT GetDlgItemText(
HWND hDlg, // 对话框句柄
int nIDDlgItem, //控制标识符
LPTSTR lpString, / 预定义的一个字符缓冲区
int nMaxCount// 字符缓冲区的长度
);
16位：GetDlgItemText
32位：GetDlgItemTextA，GetDlgItemTextW
 
4、 MessageBox函数
此函数是在USER32.DLL用户模块中，它的作用创建、显示和操作信息框。函数原型：
int MessageBox(
HWND hWnd, //窗口句柄
LPCTSTR lpText, // 信息框中文字的地址
LPCTSTR lpCaption, // 信息框标题地址
UINT uType // 信息框类型
);
16位：MessageBox
32位：MessageBoxA，MessageBoxW
 
学习API函数最好的资料就是《Windows程序设计》这本书，下面列出其他一些参考资料：

API函数资料  
Win32 API reference（推荐）
Windows API 函数手册（774个Win32函数，中文） 
常见断点列表 

其他资料  
Win32头文件

第三课 动态分析技术
 
所谓动态分析是利用调试器，如OllyDBG一步一步地单步执行软件。常见的调试器有SoftICE，OllyDBG（简称OD）等。SoftICE是一
款经典的调试工具，运行在Ring0级，可以调试驱动。但平时调试的程序都是Ring3级，因此推荐大家用OllyDBG，这款工具上手容易，功能十分强
大，现在论坛上的文章基本都是用OllyDBG来讲解的。 
 
3.1 OllyDBG调试器

OllyDBG工具下载  
点击此处下载OD 

CCDebuger的OllyDBG入门教学  
OllyDBG 入门系列（一）－认识OllyDBG 
OllyDBG 入门系列（二）－字串参考 
OllyDBG 入门系列（三）－函数参考 
OllyDBG 入门系列（四）－内存断点 
OllyDBG 入门系列（五）－消息断点及 RUN 跟踪

名词解释  
1.所谓领空，实际上是指：在某一时刻，CPU 的 CS:IP(EIP) 所指向的某一段代码的所有者所在的区域。

3.2 Olldbg常见问题
 
Q: OD中如何运行到光标所在处？
A: 将光标移到目标位置，按F4.
 
Q: 如何用OD修改可执行程序？
A：直接在反汇编代码区更改,这时可以使用汇编代码更改,然后选中修改后的汇编代码，右击-->复制到可执行文件-->保存文件.
 
Q:OD中的代码乱码，如：
004365E0 >db 68 ; CHAR ‘h‘
004365E1 >db A4
004365E2 >db 7A ; CHAR ‘z‘
004365E3 >db E5
004365E4 >db B8
004365E5 >db E8
004365E6 >db BB
 
A:OD右键，"分析/从模板中删除分析"，如不行，按Ctrl+A重新分析
 
 
Q:OD为什么删除了断点，重新加载的时候，这些断点都会重新出现
A:设置ollydbg.ini，将配制文件里改成如下：Backup UDD files=1 (by kanxue)
 
Q：如何还原到OD到分析前的状态?
A：右键 分析/从模块中删除扫描
 
Q：什么是UDD？
A：OllyDbg 把所有程序或模块相关的信息保存至单独的文件中，并在模块重新加载时继续使用。这些信息包括了标签、注释、断点、监视、分析数据、条件等等
 
Q:OD的数据窗口显示一个下划线，是什么意思？
A:重定位加下划线［Underline fixups］，几乎所有的DLL和一部分程序都包含重定位，这样就可以在内存中的不同基地址加载模块了。当该项开启时，CPU反汇编窗口或CPU数据窗口中的重定位地址都将添加下划线。（xing_xsz）
 
Q：如果已经知道某一CALL的具体作用,能否把后面所有相同的CALL都改成函数名形式?
A：比如 CALL 110000 此中已经知道110000是一个核心计算
则如下操作,让光标停在CALL 110000 这个语句上,按回车键
会跳到110000的地址上去显示,之后让光标停在110000上,按
shift 和; (分号) 其实就是完成一个:(冒号)的动作,输入
名称,这回所有的调用110000处,都会显示CALL 你刚才输入的
名称了.(nig回答)
 
Q：用OD调试一些加壳程序，如Themida等，可能你会发现下断后（包括硬件断点），程序跑到断点时，OD会出现假死现像。
A：打开OD配置文件ollydbg.ini，你会发现：Restore windows= 123346 //这个Restore windows可能会是一个很大的值
现在只需要将Restore windows＝0，重新用OD调试程序，假死问题就消失了。 (kanxue)
 
Q:ollydbg中如何调用pdb文件？ 
A:
pdb文件是VC++调试编译生成的文件。由编译器直接生成。
pdb文件要配合源文件使用。不同的源文件pdb文件不同。
用OD装入可执行文件后，点击CPU窗口中的注释段可出现源码。
不过不是所有的源码都可以显示的。VC++6.0以下都可以显示。
还有一种不显示的原因是缺少路径。点击OD主菜单的[查看]->[源文件]
如果[源码]段出现(缺少)字样的话，说明此路径的源码是看不了的。设置正确的路径就可以了。
（nantz回答）
 
Q：运行A.exe，其会调用B.exe，如果用OD再附加B.exe，OD会死掉
A：
1.OD菜单，设置OD为即时调试器；
2.将B.exe的入口改成CC，即INT 3指令，同时记下原指令
3.运行A.exe，其调用B.exe，会导致异常，OD会自动启动加载B.exe，此时你将INT 3指令恢复原指令。
4.到这步，你己可以任意调试B.exe了(kanxue)
 
Q:用ollydbg调试的时候，断住kernel32.dll系统函数，然后”执行到用户代码“，就可以回到被调程序的代码。但有时候却回不来，不知道这又是为什么？
A:
多半是杀毒软件（如卡巴对LoadLibraryA）Hook API入口代码进入ring 0了，OllyDbg不能单步跟踪，这种情况下只要看堆栈返回地址，在返回地址上下端点，F9执行就可以了。（cyclotron回答）
 
Q:OD的“复制可执行文件”后面没有 “所有修改”的菜单
A:OD识别代码段范围失败后, 没有复制all modifications的选项, 因为这个是复制代码段内的修改的。（曾半仙回答）
 
Q:OD里的patch窗口怎么用？
A:patch窗口用来保存你在调试的程序中修改过的代码的。比如你前面调试了一个程序，在OD中把某处的JE改成了JMP，OD会在patch中记录这
个修改，你下次再重新载入程序时，就能在OD的patch窗口中看到你原来改动的代码。按空格键就可以激活patch，就是在OD中还把原来位置的JE改
成JMP。这个只是在OD中作更改，并没有实际保存到文件，主要是比较方便在OD中修改程序时测试。(CCDebuger回答)

OllyDBG技巧汇集  
OllyDBG的命令行解释 
OllyDBG里SHIFT+F4条件断点用法篇 
OllyDbg实用技巧六则 
OllyDBG的教学-Run trace

3.3 Olldbg脚本教学
 
这部分有点难度，新手可以跳过，等水平提高后回头再学习。

OD脚本教学  
认识ODbgScript
ODbgScript的命令
ODbgScript的脚本命令(2)
ODbgScript的 注意事项和使用技巧
 
OllyScript v0.92中文帮助文档
也谈写OllyScript脚本之Career和心声