微信逆向分析(一)——逆向分析的原理
逆向的简单理解
正向开发,是先写代码,再编译成软件。而逆向分析,到手的只有软件。从软件入手,推测对应的代码,需要了解一下编译之后的软件是怎么跑起来的。
软件运行过程
1、软件加载到内存。
2、CPU读取内存的指令。
3、根据指令,再读取数据,进行运算。
4、运算的过程,数据是存在CPU里面的寄存器。
5、运算过程,用到另一个功能,需要保存当前环境,存到堆栈。
代码语言的变化
1、C/C++语言:高级语言,给人看的
2、汇编语言 :低级语言,给机器用的
(逆向分析,接触多是汇编语言)
软件加载过程
磁盘 >>内存>>寄存器
1、代码编译成软件,先放在磁盘(C盘,D盘这些)
2、开始运行的时候,就会加载进内存(平时说的内存条)
3、真正运行的是在CPU(也就是所谓的芯片),里面存数据的地方叫寄存器。
软件的构成
1、软件的外部
包含:一个主要程序(exe后缀),多个独立库(dll后缀)。
内存一开始加载exe,有必要的时候,exe再把dll加载进内存来。
exe或者dll在内存的开始位置,叫做基址。(每次加载,随机放置,基址不固定)
exe或者dll里面和基址的距离,叫做偏移。(每次加载,内部不变,偏移固定)
打个比喻:exe和dll相当小尺子,要放在内存这个大尺子上。
大尺子上只要有空位,小尺子就可以随便放。
小尺子不管怎么放,里面的刻度固定的。
2、软件的内部
软件 = 代码 + 数据
数据 = 静态数据 (数据不会变)+ 动态数据 (数据会改变)
动态数据 = 全局数据 (多个函数共用)+ 局部数据(单个函数私有)
代码和静态数据在软件运行过程不会改变,位置固定,可以方便使用。
全局数据,因为是共用的,位置固定,也可以方便使用。
所以这三种的偏移是不变的。
内存地址 = 基址 + 偏移。
基址可以用GetModuleHandle得知。
偏移又是不变的,内存地址也就可以算出来了 。
而偏移会变化的局部数据,就不能直接算出来了。
局部数据,是软件运行过程中,临时生成又销毁的。
所以要获取局部数据,只能在软件的运行过程进行拦截。(也就是所谓的HOOK)
逆向分析目的(重点)
逆向分析的两个目的
1、调用功能
2、获取数据
通过上面的原理可以知道
1、调用功能
代码是固定的,找到偏移,就可以调用。
2、获取数据
对于全局数据,找到偏移,就可以得到。
对于局部数据,需要拦截,才可以得到 。
(拦截的是代码,所以要找代码的偏移)
所以,逆向的核心点,是找固定的偏移。
微信逆向分析(一)——逆向分析的原理相关推荐
- [安全攻防进阶篇] 二.如何学好逆向分析、逆向路线推荐及吕布传游戏逆向案例
从2019年7月开始,我来到了一个陌生的专业--网络空间安全.初入安全领域,是非常痛苦和难受的,要学的东西太多.涉及面太广,但好在自己通过分享100篇"网络安全自学"系列文章,艰难 ...
- [安全攻防进阶篇] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向
从2019年7月开始,我来到了一个陌生的专业--网络空间安全.初入安全领域,是非常痛苦和难受的,要学的东西太多.涉及面太广,但好在自己通过分享100篇"网络安全自学"系列文章,艰难 ...
- 逆向与分析-WebBrowserPassView消息分析
逆向与分析-WebBrowserPassView消息分析 这个的源头是之前我写的一个博客: http://blog.csdn.net/u013761036/article/details/730427 ...
- 【Android 逆向】Android 逆向通用工具开发 ( PC 端工程分析 | 网络初始化操作 | PC 端工程核心业务逻辑 )
文章目录 前言 一.网络初始化操作 二.PC 端工程核心业务逻辑 三.博客资源 前言 本篇博客重点分析 PC 端 hacktool 模块 ; 一.网络初始化操作 HackCommand::Prepar ...
- 【Android 逆向】Android 逆向通用工具开发 ( adb forward 网络端口重定向命令 | PC 端逆向程序主函数分析 )
文章目录 前言 一.adb forward 网络端口重定向命令 二.PC 端逆向程序主函数分析 前言 本篇博客重点分析 PC 端 hacktool 模块 ; 一.adb forward 网络端口重定向 ...
- 【Android 逆向】Android 逆向方法 ( 静态逆向解析 | 函数调用分析 | 动态运行跟踪 | 运行日志分析 | 文件格式解析 | 敏感信息分析 | 网络信息监控 | 环境伪装模拟 )
文章目录 一.Android 逆向方法 1.静态逆向解析 2.函数调用分析 3.动态运行跟踪 4.运行日志分析 5.文件格式解析 6.敏感信息分析 7.网络信息监控 8.软件动态调试 9.环境伪装模拟 ...
- LINUX 下的逆向 用 IDA 分析,样本逆向中系统调用的识别方法
作者:RootKiter 无符号表情况下的逆向 LINUX平台下的程序,可以通过strip程序进行精简,精简过的可执行文件会变小,同时又丝毫不影响执行效率.但这种情况会给程序逆向带来困扰.由于没有符号 ...
- 某APP逆向算法学习与分析
前言 第一次来到CSDN写文章,有不对的地方欢迎大家批评指正 提示:此文章仅供学习使用,切勿用于非法用途,产生的其他责任与本人无关 一.首先利用Charles对APP登录动作进行抓包 有关Charle ...
- 【Android 逆向】Android 逆向通用工具开发 ( 静态库项目中的网络操作核心类 CNetwork 分析 )
文章目录 一.adabingo 静态库项目中的网络操作核心类 CNetwork 分析 一.adabingo 静态库项目中的网络操作核心类 CNetwork 分析 CNetwork 相关方法分析 : 等 ...
- 编译原理(六)自底向上分析之LR分析法
自底向上分析之LR分析法 说明:以老师PPT为标准,借鉴部分教材内容,AlvinZH学习笔记. 基本概念 1. LR分析:从左到右扫描(L)自底向上进行规约(R),是规范规约,也即最右推导(规范推导) ...
最新文章
- Python 【第十三章】 Django 之 FORM
- (回文串)Manacher算法
- C#3.0 为我们带来什么(2) —— 自动属性
- 网易严选的wkwebview测试之路
- 【机器学习】特征工程七种常用方法
- win7安装硬盘后无法启动计算机,硬盘装Win7系统电脑后开机提示DISK BOOT FAILURE怎么办【图文】...
- 什么镜头最适合拍风景_哪种镜头最适合你的街头摄影?
- 并不对劲的[USACO07NOV,洛谷p2886]Cow Relays
- `ifdef、`else、`endif 用法
- 下载Googleearth地图作为底图显示曝光点
- 深入理解PSNR(峰值信噪比)(附matlab代码)
- php模拟post提交 在线,curl post请求 , postman 模拟请求 , 在线测试工具模拟请求...
- 法律基础(第六版)4
- 笔记本电脑怎么打不开计算机,笔记本电脑打不开了怎么办
- JAVA基础-java继承类实现
- Flink报错:exceeded checkpoint tolerable failure threshould
- 华为模拟器三个路由器全网互通
- 吉林大学珠海学院论坛 http://j.bnubbs.cn
- 自己开发CMS系统还是使用成熟的CMS系统?
- 利用几何布朗运动对招商银行2021年进行股价预测