Lee's Blog

0x00 前言最近我在学习Linux PWN相关知识的时候，也是在看《程序员的自我修养(装载->链接->库)》这本书的时候，接触到了可执行文件格式，COFF、ELF、PE，所以也找了Bilibili上海东老师的《滴水逆向三期》视频中的PE课程在学习，刚看完PE头这节课。在此做个笔记也算是整理学习的结果 并且分享给大家，共同学习，如有错误欢迎指正。 0x01 PE文件介绍PE文件是Windows上的可执行文件，就是我们鼠标双击就能运行的程序，当然也有双击不能运行的程序。其中.exe、.dll、.sys这些都是PE文件，那么读者可能有个疑问，我双击.txt的文件也是能直接打开运行的啊？Emmmmm….这个其实他是用Notepad记事本加载并打开的，而PE可执行文件他是经过系统加载并运行的。 PE文件是分块存储的。在图中我们可以看出数据被加载到内存后会不一样，其中PE文件被加载到内存中的时候(相当于一个拉伸的过程)，把数据给拉长了。 不过块中的数据还是一样的，我们可以看到最开头的快就是PE头的数据，接下来是节表等其他块的数据，这些我们会在后续文章中介绍。 0x02 ...

本教程主要参考PWN虚拟机配置、Linux Pwn入门教程—–环境配置 、星盟安全 PWN系列教程 PWN环境配置 。 需要的工具或系统 VMware16 Kali 如何安装VM虚拟机，虚拟机如何安装kali系统，这里就不再介绍，读者可自行通过搜索引擎查找相关资料，这里主要记录下kali安装相关pwn工具的过程。 安装PWN工具pwntools （CTF库、漏洞利用库）1234#提前安装pipsudo apt-get install python3-pip#安装pwntoolspip install pwntools -i https://pypi.tuna.tsinghua.edu.cn/simple pwngdb（GDB插件）123git cloen https://github.com/pwndbg/pwndbgcd pwndbg./setup.sh checksec（查保护）安装完pwntools后，checksec会自动被安装上，此工具主要用来查程序保护。 1checksec hackpwn ROPGadget（二进制文件查找工具）1234sudo ...

前言最近准备学PWN，所以买了《CTF权威指南(PWN)篇》的书粗略的看完后，在这里做个学PWN需要掌握的知识指南，如有补充欢迎评论。 前置技能首先我觉得要学习PWN还是要有一定基础的，因为PWN毕竟是和系统底层知识打交道，所以我觉得应该具备如下的一些技能，并且我推荐了一些不错的书籍。 Linux系统基础知识《鸟哥Linux私房菜》、《Linux就该这么学》、《Linux命令大全》 Linux下C语言编程 《Linux C编程一站式学习》 Python编程基础知识 《Python编程：从入门到实践》 汇编语言《汇编语言(第4版)》、 王爽8086汇编学习笔记 熟悉ELF文件格式 《Linux二进制分析 》 熟悉GDB动态调试 gdb调试常用指令 PWN概念概述PWN我觉得最开始的时候应该是没有这门学科和系统化的资料教程的，PWN本身属于高阶技能，个人感觉都是以前那些逆向大佬、编程大佬开始玩点高级的东西，然后就开始挖漏洞，结果就挖出了各种二进制漏洞，并且把二进制漏洞也完美的利用起来了，后面就归纳总结出一套体系供后人学习，在此真的膜拜那些前辈的共享精神。 发音至于PWN为什么 ...

前言由于有其他高级语言的开发经验，所以入门学起来就快很多，不用像初学那样详细的看，我根据《Python编程：从入门到实践（第2版）》做个简单笔记总结。 安装安装就不记录了，傻瓜式的下载Python安装包，然后运行python来确定是否已经添加到环境变量、安装完毕，当然还要安装pip. 数据类型Hello,World先来写个简单的Hello，World看看 12msg = "Hello,World!"print(msg) 变量和其他高级语言意思一样，Python推荐命名规范用下划线划分单词，比如greeting_message，有空格会引发错误比如greeting message. 字符串在编程中最常用的应该就是字符串相关的处理了。 Python中推荐字符串用””来包括单引号，用’来包括双引号,比如: 1234567891011"The language `Python` is named after Monty Python,not the snake."'I told my friend,"Python is ...

call和ret指令概述：call和ret指令都是转移指令，它们都修改IP，或同时修改CS和IP。他们经常被用来实现子程序(函数)的设计。 ret和retfret指令ret指令：用栈中的数据，修改IP的内容，从而实现(近转移)；CPU执行ret指令时，需要进行下面两个步骤： 相当于：pop IP (1) (IP) = ((ss)*16+(sp)) (2) (SP)=(sp)+2retf指令retf指令：用栈中的数据，修改CS和IP的内容，从而实现(``远转移`)。 CPU执行retf指令时，需要进行下面四个步骤 相当于：pop CS,pop IP (1) (IP) = ((ss)*16+(sp)) (2) (SP) = (sp)+2 (3) (CS) = ((ss)*16+(sp)) (4) (SP) = (sp)+2 123456789101112131415161718192021222324252627;************************************; ret指令实验 * ; ...

转移指令可以修改IP，或同时可以修改CS和IP的指令统称为：转移指令 8086CPU的转移行为有以下几类： 只修改IP时，称为段内转移，比如：jmp ax。 同时修改CS和IP时，称为段间转移，比如：jmp 1000:0。 由于转移指令对IP的修改范围不同，段内转移又分为：短转移和近转移。 短转移IP的修改范围为-128~127(0xFF) 近转移IP的修改范围为-32768~32767(0xFFFF) 8086CPU的转移指令分为以下几类： 无条件转移指令（jmp） 条件转移指令（jnz jz..） 循环指令（loop） 过程 中断（int） 操作符offset操作符offset是伪指令，在汇编语言中由编译器处理的符号，它的功能是取得标号的偏移地址 jmp指令jmp为无条件转移指令，可以只修改IP，也可以同时修改CS和IP。 jmp指令要给出两种信息： (1) 转移的目的地址 (2) 转移的距离（段间转移、段内短转移、段内近转移） 1234jmp short 标号jmp near ptr 标号jcxz 标号loop 标号 等几种汇编指令，它们对 IP的修改是根 ...

寄存器知识一个典型的CPU由运算器、控制器、寄存器（CPU工作原理）等器件构成，这些器件靠内部总线相连。 运算器进行信息处理(运算单元) 寄存器进行信息存储(存储单元) 控制器负责控制各种器件工作(控制单元) 8086CPU中一共有14 个寄存器，所有寄存器都是16位宽，存2个字节，因为是完全的16位微处理器。 AX，BX，CX，DX，SP，BP，SI，DI，IP，FLAG，CS，DS，SS，ES 这 14 个寄存器有可能进行具体的划分，按照功能可以分为五种： 通用寄存器 段寄存器 偏移寄存器 IP寄存器 标志寄存器 通用寄存器通用寄存器有4个：AX，BX，CX，DX，一般用来存放数据，也被称为数据寄存器。 它们可分为两个可独立使用的8位寄存器 如下图所示。 8086CPU可以一次性处理以下两种尺寸的数据。 字节：记为byte，一个字节由8个bit组成，可以存在8位寄存器中。 字：记为word，一个字由两个字节组成，可以存在一个16位寄存器中(16位CPU) 8086采用小端模式：高地址存放高位字节，低地址存放低位字节。 一个8位寄存器所能存储的数 ...

这一节主要通过熊猫烧香病毒来进行融会贯通，将前面学到过的所有知识都进行实践。 所有的例子和工具都可以在https://github.com/Vxer-Lee/MalwareAnalysis里面下载到。 熊猫烧香行为分析查壳因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候，流程都是要先上传杀毒网看看。 用PEID进行查壳，显示未加壳，程序采用Delphi语言开发。 补充下Dephi开发的程序和C++开发的程序的一些区别。 区别：1.Delphi在函数调用时参数的传递不完全用栈，主要用寄存器。2.而C++程序函数调用前会使用push语句将参数入栈，然后再进行call。3.Delphi一般将第一个参数放入eax寄存器，第二个参数放入edx，第三个参数放入ecx寄存器，其余参数按照与VC程序类似的方式压栈。4.总之，Delphi编译器默认以register方式传递函数参数。这一点与VC编译的程序完全不同。5.提示：栈上给局部变量分配空间的时候，栈是向下增长的，而栈上的数组、字符串、结构体等却是向上增长的。理解这一点可以帮助识别栈上的变量。 简单静 ...

这一节课，主要是利用OD对目标程序进行动态分析，从而学习OllyDebug的使用。 123456789101112131415161718192021----------------Lab-09-02.exe----------------使用工具：1.小生我怕怕版OD2.Strings3.IDA Pro-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=1、在二进制文件中，你看到的静态字符串是什么？2、当你运行这个二进制文件时，会发生什么？3、怎样让恶 ...

这节课主要通过使用IDA Pro来进行静态高级分析 ## 实验： 123456789101112131415161718----------------Lab05-01.dll----------------使用工具：1. IDA Pro-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=1、DllMain的地址是什么？2、使用Imports窗口并浏览到的gethostbyname，导入函数定位到什么地址？3、有多少函数调用了gethostbyname？ ...