Beyond Compare比较出名，但是我发现有点儿问题，坑了我好久，比如

文件1：

文件2：

但是用Beyond Compare软件比较出来就是下面这样：

我一直怀疑我两个文件有问题，后来用了 二进制文件比较编辑软件(fairdell hexcmp) v2.34 绿色版 软件比较才发现，就是最上面的两个图，比较结果正常，我服了，坑了我好久，比较二进制文本文件，推荐大家用fairdell hexcmp软件，我觉得更好，更专业。如果是比较文本文件，那Beyond Compare软件是个不错的选择。

前言

上一篇学完内网之后，打算学习一些逆向相关知识

本篇开始阅读学习《有趣的二进制：软件安全与逆向分析》，本章是通过逆向工程学习如何读懂二进制代码，主要是体验软件分析、静态分析和动态分析（可以理解为怕劝退读者）

作者有句话很有意思：

在编写这本书的过程中，我再一次感到，在不计其数的编程语言中，汇编语言是最‘有趣’的一种

配套资源在：https://github.com/shyujikou/binarybook

一、软件分析体验

首先是一些工具安装：

• 二进制编辑 WinHex：建议到吾爱破解下载
• 网络监控 Wireshark：https://www.wireshark.org/
• 文件和注册表监控 Process Monitor：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
• 反汇编 IDA：建议到吾爱破解下载
• 调试器 OllyDbg：建议到吾爱破解下载

本节要用到的是 chap01\sample_mal\Release 目录中的 sample_mal.exe 文件

1、通过 Process Monitor 的日志来确认程序的行为

sample_mal.exe 文件运行后，弹出一个内容为“Hello Malware!”的对话框，如下：

Process Monitor 的日志如下：

可以看到 sample_mal.exe 文件连续执行了 CreateFile、WriteFile 和 CloseFile 这几个操作，这些操作加起来的功能相当于在指定文件夹创建并写入一个名为 0.exe 的文件

进入C:\Users\ 用户名 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup可以看到 0.exe 文件

用 Winhex 与 sample_mal.exe 文件进行对比，发现两个文件完全一致

此外，sample_mal.exe 还在 我的文档 目录下创建了1.exe文件：

2、从注册表访问中能发现些什么

Windows 重启时自动运行的程序可以注册在下列任一注册表的位置：

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

可以发现注册表里面的确注册了 C:\Documents and Settings\XPMUser\My Documents\1.exe 这样的内容

3、小结

通过上述，sample_mal.exe 程序会执行以下操作：

• 修改注册表以便在系统重启时自动运行
• 将自己复制到“启动”文件夹以便在系统重启时自动运行

因此，我们只要将“启动”文件夹、“我的文档”以及 注册表中新增的内容（文件路径）删除，系统环境就可以完全恢复原状 了

二、静态分析体验

静态分析与动态分析简单定义如下：

• 静态分析：在不运行目标程序的情况下进行分析
• 动态分析：在运行目标程序的同时进行分析

静态分析主要包括以下方法：

• 阅读反汇编代码
• 提取可执行文件中的字符串，分析使用了哪些单词

这里用到 chap01\wsample01a\Release 中的示例程序 wsample01a.exe

1、WinHex 查看文件内容

用 WinHex 打开 wsample01a.exe

可以看到这些内容：

• 字符串 MESSAGE 和 Hello! Windows
• 文件路径 C:\Documents and Settings\XPMUser\My Documents\Visual Studio 2010\Projects\wsample01a\Release\wsample01a.pdb
• 字符串 KERNEL32.dll、MessageBoxW

主要是感受下

2、IDA 反汇编

将 wsample01a.exe 扔进 IDA：

也是感受下

跟源码对比下：

#include <Windows.h>
#include <tchar.h>

int APIENTRY _tWinMain(
	HINSTANCE hInstance, 
	HINSTANCE hPrevInstance, 
	LPTSTR    lpCmdLine, 
	int       nCmdShow)
{
	if(lstrcmp(lpCmdLine, _T("2012")) == 0){
		MessageBox(GetActiveWindow(), 
			_T("Hello! 2012"), _T("MESSAGE"), MB_OK);
	}else{
		MessageBox(GetActiveWindow(), 
			_T("Hello! Windows"), _T("MESSAGE"), MB_OK);
	}	
	return 0;
}

三、动态分析体验

动态分析：

• 在目标程序运行的同时跟踪其行为，主要用调试器来跟踪程序逻辑
• 获取文件和注册表访问日志
• 抓取网络包

这里用 chap01\wsample01b\Release 中的示例程序 wsample01b.exe

1、 Process Monitor 跟踪

为了跟踪程序，设置 Process Monitor 的过滤规则：

然后可以发现其行为类似于开头的 sample_mal.exe

2、OllyDbg 调试

调试器是一种帮助发现程序问题和 bug 的软件：

• 断点
• 单步跳入、跳出
• 查看寄存器和内存数据

看看 00401000 之后的程序逻辑，发现程序依次调用了 GetModuleFileNameW、SHGetFolderPathW、lstrcatW、 CopyFileW 这几个函数

通过设置断点和单步前进可以了解每一步或者说上面每一个函数在做什么

同样与源代码对比：

#include <Windows.h>
#include <tchar.h>

int APIENTRY _tWinMain(
	HINSTANCE hInstance, 
	HINSTANCE hPrevInstance, 
	LPTSTR    lpCmdLine, 
	int       nCmdShow)
{
	if(lstrcmp(lpCmdLine, _T("2012")) == 0){
		MessageBox(GetActiveWindow(), 
			_T("Hello! 2012"), _T("MESSAGE"), MB_OK);
	}else{
		MessageBox(GetActiveWindow(), 
			_T("Hello! Windows"), _T("MESSAGE"), MB_OK);
	}	
	return 0;
}

四、基础汇编指令

1、常用汇编指令

常用汇编指令如下：

JNZ 指令和 TEST 指令结合就是条件分支

2、参数存放在栈中

CALL 指令是用来调用子程序的，当我们用汇编语言编写子程序的时候，将返回值存放在 EAX 中，这是一种习惯

参数要通过 PUSH 指令存放在栈中：每当执行 PUSH 指令时，PUSH 的值就会被放入栈中

3、例子

一个 hello world 的汇编如下：

extern MessageBoxA

section .text
global main

main:
	push dword 0
	push dword title
	push dword text
	push dword 0
	call MessageBoxA
	ret

section .data
title: db 'MessageBox', 0
text: db 'Hello World!', 0

结语

主要是体验下几种最常用的逆向工具

一、将二进制、八进制、十六进制转换为十进制

二进制、八进制和十六进制向十进制转换都非常容易，就是“按权相加”。所谓“权”，也即“位权”。

1) 整数部分

将二进制数字11010转换成十进制：

11010 = 1×2^4 + 1×2^3 + 0×2^2 + 1×2^1 + 0×2^0 = 26（十进制）

将八进制数字 53627转换成十进制：

53627 = 5×8^4 + 3×8^3 + 6×8^2 + 2×8^1 + 7×8^0 = 22423（十进制）

将十六进制数字 9FA8C转换成十进制：

9FA8C = 9×16^4 + 15×16^3 + 10×16^2 + 8×16^1 + 12×16^0 = 653964（十进制）

2) 小数部分

将二进制数字 1010.1101 转换成十进制：

1010.1101 = 1×2^3 + 0×2^2 + 1×2^1 + 0×2^0 + 1×2^(-1) + 1×2^(-2) + 0×2^(-3) + 1×2^(-4) = 10.8125（十进制）

将八进制数字 423.5176 转换成十进制：

423.5176 = 4×8^2 + 2×8^1 + 3×8^0 + 5×8^(-1) + 1×8^(-2) + 7×8^(-3) + 6×8^(-4) = 275.65576171875（十进制）

将十进制数字7B.A84转换成十六进制：

7B.A84=7×16^1 + B×16^0 + A×16^(-1) + 8×16^(-2) + 4×16^(-3) = 123.6572266

二、将十进制转换为二进制、八进制、十六进制

1) 整数部分

下图演示了将十进制数字 42 转换成二进制的过程：

 下图演示了将十进制数字 36926 转换成八进制的过程：

 2) 小数部分

下图演示了将十进制小数 0.6875 转换成二进制小数的过程：

三、二进制和八进制、十六进制的转换

1) 二进制整数和八进制整数之间的转换

二进制整数转换为八进制整数时，每三位二进制数字转换为一位八进制数字，运算的顺序是从低位向高位依次进行，高位不足三位用零补齐。

下图演示了如何将二进制整数 1110111100 转换为八进制：

从图中可以看出，二进制整数 1110111100 转换为八进制的结果为 1674。 

八进制整数转换为二进制整数时，思路是相反的，每一位八进制数字转换为三位二进制数字，运算的顺序也是从低位向高位依次进行。

下图演示了如何将八进制整数 2743 转换为二进制：

 从图中可以看出，八进制整数 2743 转换为二进制的结果为 10111100011。

2) 二进制整数和十六进制整数之间的转换

二进制整数转换为十六进制整数时，每四位二进制数字转换为一位十六进制数字，运算的顺序是从低位向高位依次进行，高位不足四位用零补齐。

下图演示了如何将二进制整数 10 1101 0101 1100 转换为十六进制：

 从图中可以看出，二进制整数 10 1101 0101 1100 转换为十六进制的结果为 2D5C。

十六进制整数转换为二进制整数时，思路是相反的，每一位十六进制数字转换为四位二进制数字，运算的顺序也是从低位向高位依次进行。

下图演示了如何将十六进制整数 A5D6 转换为二进制：

 从图中可以看出，十六进制整数 A5D6 转换为二进制的结果为 1010 0101 1101 0110。