逆向笔记1---基础准备

逆向笔记1----基础准备

根据看雪主编的《加密与解密》相关书籍，还有李佳宇老师的相关视频，开始涉足进入逆向方面的捏内容，给大家相关参考，希望对大家有所帮助
这是第一部分，在涉足逆向和加密解密之前了解的相关基础知识，大致浏览即可

要开始逆向，怎么能不懂大端序小端序、操作系统基础知识、消息队列、句柄、NT架构、PE结构等等相关内容？？

一、

1.多字节存储顺序：大端和小端 常见INTEL架构为小端 某些RISC架构的CPU为大端 （大端正序 高位字节存入低地址 小端反序）
2.ASCII 与 Unicode （ASCII编码7位 256个 Unicode编码16位 范围是0-65535）Byte：一个字节 Word：一个字型数据，一个Unicode(两个字节） Dword：四个字节
3.Windows操作系统：
Win API：windows应用程序接口（被设计为各种语言的的程序调用）
动态链接库：把一些经常公用的代码制作成DLL文件（DLL本身就是可执行文件：PE结构）
三个常用的动态链接库文件：kernel(内存管理，数据输入输出，中断管理) user（用户界面相关应用程序） GDI（图形）
句柄：一个句柄是指使用的一个唯一的整数值，用于标志应用程序中不同对象和同类对象中的不同的实例（例如一个窗口、按钮、图标、滚动条。。。。。）

二、

1.Window NT架构（从内核到动态链接库都是纯32位 统一使用Unicode字符集）
推荐书籍：《windows程序设计》
2.MSDN（windowsAP函数）
3.windows程序设计简要介绍：入口符号：winmain(通常）
窗口类（创建一个类，具有通用性）
宏定义（stdcall：调用
cdecl:
LRESULT：匈牙利命名法
看定义类型的原型（点右键，goto…）
作用：更改方便，使体系具有可拓展性
）
4.回调函数（别叫我，我会叫你）：特点：声明函数时CALLBACK在开头
判断条件满足即调用函数
实现是利用windows的消息机制

三、windows消息机制

1.特点：图形化操作界面与多任务的管理
2.系统与应用程序之间，应用程序与应用程序之间通过消息来触发
3.两种消息队列：系统消息队列 应用程序队列
4.windows为当前每个windows程序维护一个消息队列，触发事件后，系统将消息投放入程序的消息队列中；程序通过执行一段称之为消息循环的程序代码从消息队列中取出消息
5.windows API编程：就是调用函数（多查windows自带的api函数，多看宏定义）

四、windows保护模式

1.实模式、保护模式、虚拟8086模式
X86使用中断机制来实现系统服务
寄存器：AL->AX->EAX->RAX
实模式下寻址：段地址+偏移地址
2.保护模式：主要是寻址方式起到了保护作用
（1）不同任务之间的保护：将不同任务放在不同的虚拟地址中，做到程序之间的隔离
（2）同一任务的保护：每一任务定义了保护级别：0，1，2，3（内核为0级，权限最高 一般系统只有环1和环3）
3.虚拟内存：通过映射使用虚拟地址（4GB），不是真的内存，每个程序都有自己独立的寻址空间
4.DLL与exe不同，DLL和exe都是可执行文件，但是dll没有自己的独立寻址
5.虚拟内存工作机制！！！！
在保护模式下：应用程序不会直接访问物理地址
虚拟内存管理器通过虚拟地址的访问请求，控制物理地址访问
不同程序空间互相隔离
DLL程序没有自己的私有空间，被映射到其他应用程序的地址空间（可以做木马）

五、认识PE格式

1.windows自身所带的执行文件格式，可以移植，运行在非Intel的CPU上，通过此研究windows格式
2.PE文件使用的是平面地址空间，所有代码和数据合并在一起，文件内容被分割为不同的区块，（区段、节），块中包含代码或数据，每个区块有不同名字
3.常用的PE文件名称：
.text编译或汇编结束块，都是指令代码
.rdata：运行期只读数据
.data：初始化的数据块
.idata：包含其他外来DLL函数及数据信息
.rsrc：包含模块，如图表、菜单、位图
4.入口点（EP）
文件偏移地址（FO）
虚拟地址（VA）（内存偏移地址，保护模式需要的）
基地址：文件执行被映射到内存的初始地址
5.Load PE