m0_58213960的博客

注册表是Windows操作系统的配置数据库。25.1 硬盘数据的获取和固定。取证专用的Linux可启动光盘。25.2 硬盘的分区和数据恢复。电子数据的固定（HASH值）利用取证计算机复制硬盘。25.4 动态仿真技术。

第二十四章 .NET平台加密解密https://learn.microsoft.com/zh-cn/dotnet/core/introductionhttps://www.cnblogs.com/1996V/p/9037603.htmlhttps://zhuanlan.zhihu.com/p/134174688

增加区块（增加一个块头、增加块头指向的数据段、调整文件映像的尺寸（SizeOfImage））修改输入表中的IID成员，增加输入函数。利用区块空隙（注意区块属性）23.3 获得函数的调用信息。23.4 代码的重定位。23.5 增加输出函数。23.8 DLL扩展。

利用 SMC(Self-Modifying Code)能修改自身代码这个特点，可以对加壳程序直接打补丁，其效果相当于内存补丁。在代码刚刚恢复、尚未运行时，在外壳里插人一段补丁代码，就可以给刚解压的数据打补丁了。Windows提供了两个用于进程间互访内存的函数ReaadProcessMemory和WriteProcessMemory。补丁：文件补丁（修改文件本身的某个数据）和内存补丁（对正在运行的程序的数据进行修改，以达到某种效果）文件补丁直接修改可执行文件或某功能模块的二进制代码。Debug API机制。

21.1 VMProtect逆向分析。21.2 VMProtect的还原。

例如，80x86汇编指令是在CPU里执行的，而字节码指令系统是通过解释指令执行的(这里谈到的字节码指令执行系统是建立在x86指令系统上的)。Java的JVM、.NET或者其他动态语言的虚拟机都是靠解释字节码来执行的，但因为每个系统设计的字节码都是供自己使用的，不会兼容其他系统，所以它们的字节码并不通用。指令分类：普通指令（算术指令、数据传输指令）、栈指令、流指令（JMP、CALL、RETN）、不可模拟指令（int3、sysenter、in、out）20.2 启动框架和调用约定。

流程：判断文件是否为PE格式、文件基本数据读入、附加数据的读取、输入表的处理、重定位表的处理、文件的压缩、资源数据的处理、区块的融合。19.3 用C++编写外壳部分。19.3 用汇编写外壳部分。19.1 外壳的结构。19.2 加壳主程序。

OD检测方法：查找特征码、检测DEGHELP模块、查找窗口、查找进程、SeDebugPrivilege方法、SetUnhandledExceptionFilter方法、EnableWindow方法、BlockInput方法。IsDebuggerPresent()函数读取当前进程PEB中的BeginDebugged标志。调试器漏洞、防止调试器附加、父进程检测、时间差、Trap Flag检测、双进程检测、18.1 由BeginDebugged引发的蝴蝶效应。18.3 真正的奥秘：小技巧一览。

巧妙构造代码和数据，在指令流中插入很多“数据垃圾"，干扰反汇编软件的判断，使它错误地确定指令的起始位置，这类代码数据称为花指令。反汇编算法：线性扫描（无法正确地将代码和数据分开）、递归进行。17.5 关于软件保护的若干忠告。磁盘文件校验（CRC32校验）内存映像校验（校验代码区）17.3 文件完整性校验。17.4 代码与数据结合。17.1 防范算法求逆。17.2 抵御静态分析。

在某些特殊的 PE 文件中，在各个区块的正式数据之后还有一些数据，这些数据不属于任何区块。因为PE文件被映射到内存中时是按区块映射的，所以这些数据是不能被映射到内存中的。壳的加载过程：保存入口参数、获取壳本身需要使用的API地址、解密原程序各个区块的数据、IAT的初始化、重定位项的处理、HOOK API、跳转到程序原入口点。手动脱壳步骤：查找真正的入口点、抓取内存映像文件、重建PE文件（修复OEP、IAT的RVA和Size）优化输入表存放位置、资源的重建、装配文件、修正PE文件头。确定IAT的地址和大小。

ASProtect(压缩、加密、反跟踪代码、CRC校验、花指令)、Armadillo(穿山甲)、EXECryptor、Themida。虚拟机引擎（编译器+解释器+虚拟CPU环境+指令系统）15.4 虚拟机保护软件。

漏洞样本是软件中存在漏洞利用的最直接的证据，一般分为两类:一类是证明软件有漏洞，这类漏洞样本不需要深入展示漏洞利用的过程，一般只需要证明样本可以导致程序崩溃，这类样本叫作PoC(Proof of Concept);另一类是漏洞利用样本，这类样本也称 Exp(Exploit )。Jmp esp/call esp、jmp ebx/call ebx、堆喷射、DEP保护、ROP、ASLR保护。堆溢出、整型溢出（存储溢出、计算溢出、符号问题）UAF（Use-After-Free）漏洞。缓冲区溢出漏洞：栈溢出。

Address Hook：IAT、EAT、user32.dll的回调函数表、IDT（中断描述符表）、SSDT（系统服务描述符表）、C++类的虚函数表、COM接口的功能函数表、处理例程地址、特殊寄存器中的地址、特定的函数指针。Inline Hook 的实施过程：确定 Hook方式及需要在Trampoline 中执行的指令、准备TrampolineFun函数、准备jmp指令并写入、CALLL HOOK。指针的定义与操作、内存地址对齐、PE格式、调用约定的变化、跳转指令的问题、PatchGuard问题。

在通常情况下，程序加载 DLL的时机主要有以下3个：一是在进程创建阶段加载输入表中的DLL，即俗称的“静态输人”;因此，在进行 DLL注人时，也不外乎通过这3种手段进行。静态修改PE输入表法、进程创建期修改PE输入表法（以挂起方式创建目标进程、获取目标进程中的PE结构信息、获取原IID大小，增加一项，搜索可用的节空隙、构造新的IID及与其相关的OriginalFirstThunk,Name,FirstThunk结构、修正PE映像头、更新目标进程的内存、继续运行主进程）、输入表项DLL替换法（DLL劫持）

检查文件格式、读取FileHeader和OptionalHeader的内容、得到数据目录表的信息、区块表信息、输出表信息、输入表信息。11.1-4 PE的基本概念、MS-DOS头部、PE文件头、区块。PE文件衍生于早期建立在VAX/VMS上的COFF文件格式。64位的IMAGE_NT_GEADER和32位的几乎没有区别。11.10 TLS初始化。11.12 延迟载入数据。11.13 程序异常数据。11.14 .NET头部。RVA和FOA的转换。11.8 基址重定位。11.11 调试目录。

10.1 硬件虚拟化的基本概念。10.2 VT技术的应用。10.3 VT调试方法。

在通过 CreateProcess 创建进程时，如果在 dwCreationFlags 标志字段中设置了DEBUG _PROCESS 或DEBUG_ONLY_THIS_PROCESS标志，将创建一个用于调试的新进程。利用 DebugActiveProcess 函数可以将调试器捆绑到一个正在运行的进程上，如果执行成功，则效果类似于利用 DEBUG_ONLY_THIS_PROCESS 标志创建的新进程。9.1 调试相关函数的简要说明。9.3 创建并跟踪进程。9.7 将代码注入进程。9.5 处理调试事件。

SEH(结构化异常处理)是 Windows 操作系统用于自身除错的一种机制，也是开发人员处理程序错误或异常的强有力的武器。从程序设计的角度来说，就是系统在终结程序之前给程序提供的一个执行其预先设定的回调函数的机会。IDT（中断描述符表）是硬件和操作系统交接中断和异常的关口，IDT是一张位于物理内存中的线性表，共有256项。IDTR寄存器共有48位，其中高32位是表的基址，低 16 位是表的长度。IDT的每一项都是一个门结构，它是发生中断或异常时 CPU转移控制权的必经之路，包括如下3 种门描述符。

ntdll.dll 中的 API是一个简单的包装函数，当 kemel32.dll 中的 API通过 ntdl.dll 时,会先完成对参数的检查,再调用一个中断(int 2Eh或者 SysEnter指令)，从而实现从R3层进人R0层，并将要调用的服务号(也就是 SSDT 数组中的索引号 index值)存放到寄存器 EAX中，最后根据存放在EAX中的索引值在 SSDT数组中调用指定的服务(Nt*系列函数 )应用层的进程、线程、文件、驱动模块、事件、信号量等对象或者打开的句柄在内核中都有与之对应的内核对象。

使用ImportREC修正RVA的地址和大小（ctrl+B查找“FF 15”，数据窗口中跟随——>内存地址，数据类型显示为：长型——>地址），删除无用的导入表函数，“修正转储”到已经脱壳的程序上。看“shift+F9”几次程序可以运行（有界面），例如是3次，那么就要执行两次，然后“反汇编窗口中跟随”一直往下走，直到出现下图,其他壳一步步F8，哪个CALL跑飞了就F7进入。使用OllyDump：不要勾选“重建输入表”，注意入口点地址的修正；应用情况：单步F8，只有ESP是红色的（变化）