本文为笔者从零基础学习系统安全相关内容的笔记，如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些知识，欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新，由于笔者现阶段还处于初学阶段，不可避免参照复现各类书籍内容，如书籍作者认为侵权请告知，笔者将立刻删除。强调本系列所有内容仅作为学习研究使用，作者对此文章中的代码造成的任何后果不负法律责任。

前文链接
[系统安全] PE文件格式详解1
[系统安全] PE文件格式详解2
[系统安全] Windbg Preview调试记录
[系统安全]《黑客免杀攻防》MFC逆向基础实战
[系统安全] windows下C++编写第一个加壳程序
[系统安全] PE文件格式分析实战基础—分析helloworld文件
[系统安全]《黑客免杀攻防》逆向基础之经典脱壳基础
[系统安全] 反病毒与免杀原理概论
[系统安全] 恶意代码分析实战基础之必备知识点和常用工具记录

本篇文章为《恶意代码分析实战》笔记，到此学完前七章，包括基础静态分析、基础动态分析、高级静态分析(高级静态分析主要使用IDA Pro工具)。将课后最后一题进行复现，以此来做个总结。

函数调用约定

注意函数调用约定是编译器的事情，即在把C源码编译成汇编代码时考虑；而如果只关注源码的话，除了在函数前声明使用哪种约定外，没有任何差别。

Windows API匈牙利表示法

Windows总体上使用匈牙利表达法作为API函数标识符。这个表达式使用一个前缀命名模式来使识别一个变量的类型更为容易。包含一个32位无符号整数的变量，或DWORD，会以dw开头。

常见API前缀

Windows注册表

基本概念前面看过，这里留个链接

https://blog.csdn.net/weixin_42172261/article/details/121140017

同时还可以通过.reg文件的注册表脚本来修改。

组件对象模型COM

组件对象模型(Component Object Model,COM) 是基于Windows 平台的一套组件对象接口标准，由一组构造规范和组件对象库组成。组件对象不使用方法而用接口来描述自身。接口实质是一组函数指针表，每个指针必须初始化指向某个具体的函数体。
COM对象通过他们的全局唯一标识符(GUID)来进行访问，这个全局唯一标识符分为两类，是类型标识符(CLSID)和接口标识符(IID)。
COM类通过CLSID的GUID来标识，接口通过IID的GUID来标识。
通过这两个标识符来指定使用哪个类的哪个接口来实现功能，在此之前先要用这两个标识符来调用CoCreateInstance函数来完成初始化工作。

逆向分析小实战—Lab 7-3

基础静态分析

strings64.exe Lab07-03.exe查看字符串，发现以下内容。

CloseHandle
UnmapViewOfFile
IsBadReadPtr
MapViewOfFile
CreateFileMappingA
CreateFileA
FindClose
FindNextFileA
FindFirstFileA
CopyFileA
KERNEL32.dll
kerne132.dll
kernel32.dll
C:\windows\system32\kerne132.dll
Lab07-03.dll
C:\Windows\System32\Kernel32.dll
WARNING_THIS_WILL_DESTROY_YOUR_MACHINE

根据函数名FindNextFileA、FindFirstFileA可以猜测这个exe文件可能会在一个目录中搜索文件。
CopyFileA、CreateFileA表示程序可能会拷贝和创建文件。
MapViewOfFile表示可能会把文件映射到内存中并进行拷贝。
还有两个很类似的dll动态库名，猜测程序的目的可能是用自己伪造的dll来替换windows自带的Kernel32.dll，以此达到隐藏的目的。

depends查看exe文件的导入表，并没有发现导入了Lab07-03.dll。

对Lab07-03.dll用string查看字符串

exec
sleep
hello
127.26.152.13
CloseHandle
Sleep
CreateProcessA
CreateMutexA
OpenMutexA
KERNEL32.dll
WS2_32.dll
strncmp
free

看到有ip字符串，表示程序可能会联网。同时CreateProcessA表示程序会创建新的进程。OpenMutexA表示程序会用到互斥量，用来控制同一时刻只能有一个恶意程序在运行。

通过IDA发现这个dll并没有什么导出符号，这一点很奇怪。

基础动态分析

直接双击运行程序后，apateDNS没有发现网络行为，但是Regshot发现了有修改注册表的行为，又好像这些修改跟这个软件没有什么关系，看不太懂。

高级静态分析

先分析dll文件，导入IDA。
通过图形话窗口看到这个dll里面的东西还是很多的，为了简略查看功能，搜索所有的call字符如下所示。

大多数函数在上面分析过了，这里先来到connect函数的位置。

判断是链接的127.26.152.13的80端口，接着往下看。

在创建一个新进程后，send了一个hello字符串。
根据下面的图示可以看到这个新的进程发送完hello后会收到一些数据。
根据recv收到的数据和一些字符串进行比较，进行下一步操作，是sleep还是exec还是q。

可以看到如果是exec，会调用创建进程函数

第二个参数lpCommandLine是有关创建进程的一些信息，查看这个变量。
根据负值可以判断是在当前函数的栈上申请的变量，同时距离buf变量5个字节，而buf又是recv来的数据，可以得出结论recv的数据是exec xxxx的形式。

到此知道这个DLL实现了后门功能，这允许攻击者通过发送回复给80端口上的一个数据包，来启动一个系统上的可执行文件。但依旧有一个疑问是这个dll没有导出符号。

接下来分析exe文件
mian函数一开始判断了命令格式，必须是两个字符串，并且规定了第二个字符串是什么。这就是为什么刚才双击后没有什么反应。

到此判断出执行程序的命令行为Lab07-03.exe WARNING_THIS_WILL_DESTROY_YOUR_MACHINE

继续往下，看到打开了两个dll，一个是Kernel32.dll，另一个就是刚才分析的dll。

接下来是一些数据的处理，通过F5查看反汇编代码也能看出是对数据的处理。


这部分代码调用了sub_401040和sub_401070两个函数，书上说是在计算偏移地址等。

最后到了结尾部分，看到CloseHandle等函数，关闭了两个文件后把Lab07-03.dll拷贝到kerne1.dll(注意这里是1)。

接着又传参调用了sub_4011E0函数，把C:\\*作为第一个参数传进去

导函数里看，刚才第一个字符串参数被标记为lpFileName。

这个函数第一步就开始FindFirstFile，然后是一些不调用任何函数的操作，先不管这些代码。再往后有一个malloc和call sub_4011E0，发现调用自己本身，判断这是一个递归函数。

后面会和.exe字符串进行比较，如果相等的话会call sub_4010A0。

然后这个函数内部还有FindNextFile等函数，到这里可以下结论，这个函数会在C盘找exe后缀的文件，如果是exe后缀文件，就调用函数进行一些操作。

跟进sub_4010A0函数，看到CreateFileA，CreateFileMappingA，MapViewOfFile，IsBadReadPtr等函数，无疑又是对文件进行操作。
这个函数再往后看到stricmp函数和movsd、movsb指令，这是字符串操作函数。仔细分析是把dword_403010字符串传送ebx的位置。

转到dword_403010字符串，看到如下信息，这是IDA错误的标记，高亮这个变量按a键即可转成字符串。是kerne132.dll，注意是1 。

现在知道这个可执行文件遍历整个文件系统来查找以.exe结尾的文件，在.exe文件中找到字符串kernel32.dll的位置，并使用kerne132.dll替换它。

逆向分析总结

Lab07-03.dll被复制到C:\Windows\System32目录中并被命名为kerne132.dl。可以断定这个恶意代码修改可执行文件让它们访问kerne132.dll，这意味着了kerne132.dll会替代kernel32.dll被修改过的可执行文件所加载。
而上面略过的繁琐的操作部分应该就是把真正的kernel32.dll的的导出表整合到自己的kerne132dll中。这样任何依赖kernel32.dll的程序都会先加载kerne132.dll，然后再通过这个加载的伪冒的dll来加载真正的kernel32.dll导出的函数。
接下来可以通过基础静态分析来查看kerne132.dll的导出表来验证上面的结论。

《加密与解密》是一本逆向必读书籍，以Windows平台为目标讨论。本书以软件逆向为切入点，讲述了软件安全领域相关的基础知识和技能，可以说是安全人士必读书籍之一了。《加密与解密》（第四版）国庆后将出版上市，许多朋友非常关注这本书，在这里简单谈谈阅读这本书之前，需要哪些基础知识。

很多人都想学习加解密，这东西刚入门时会让人沉迷进去，可以饭不吃、觉不睡。出现这种现像，也许是解密满足了人们的猎奇心理吧。但掌握这方面技术，对自身的提高确实有好处：可以通过跟踪软件，提高自己的调试技能，并且能了解他人程序思路，使自己写出更好的程序。研究解密技术有助于掌握一些系统底层知识，系统底层知识绝对是构造起大型软件的坚实基础。许多开发人员的发展，都经历了这一锻炼过程。

大多数人可能认为解密是一门高深的学问。造成这种原因是以前这方面的技术资料缺乏，从而将“解密”这一技能“神”化了。初学者一般不知从何下手，由于没方向，花费了大量时间和精力，走了不少弯路。这里就给对这方面感兴趣的读者指明一个方向。

一、汇编语言

讨论前，先了解一下计算机中的程序。高级语言编写的程序，会编译成机器语言在CPU中执行，如Visual C++等。由于机器语言与汇编语言是一一对应的，因此就可将机器语言转化成汇编语言，这个过程称之为反汇编。而汇编语言可能读性是比较好的，这样就可分析程序流程，解析其功能了，这个过程就是解密（俗称破解）。也就是说，解密的基础是建立在汇编语言级别上的，因此想涉足这一领域的朋友，汇编语言一定得学好。

汇编语言是大学计算机的必修课，这方面的书籍非常多，例如基普·欧文的《汇编语言：基于x86处理器》、王爽的《汇编语言》等。虽然大多数书籍以16位汇编为讲解平台，但对理解汇编指令功能而言依然有益。

看雪课程平台，也有汇编语言的视频教程，感兴趣的朋友可以看视频学习：
《汇编快速入门》：https://www.kanxue.com/book-31.htm 看雪讲师：奋斗出国
《从C语言追溯到X86汇编语言》：https://www.kanxue.com/book-27.htm 看雪讲师：岭南散人
《汇编语言》：https://www.kanxue.com/book-28.htm 看雪讲师：君子谬

二、Win32编程

等汇编学好了，此时一般的逆向文章己能看懂了，但为了水平提高的更快些，建议再掌握Win32编程。Win32程序设计就是API方式的Windows编程，学习Windows API将使您更深入地了解Windows工作方式。此类书籍有Charles Petzold著的《Windows程序设计》（以VC来讲解）等。

链接：https://pan.baidu.com/s/18BCJKXNwoaz9hM2-PpXT2Q
提取码：6xmj

三、逆向技术

有了上面这些基础，你就能看懂一些逆向文章了，也能看懂《 加密与解密（第四版）》这本书了，单击查看详细介绍

读者在阅读本书的内容后，很容易就能在逆向分析、漏洞分析、安全编程、病毒分析等领域进行扩展。这些知识点的相互关联，将促使读者开阔思路，使所学融会贯通，领悟更多的学习方法，提升自身的学习能力。

软件的加密与解密是一个迷人的研究领域，它几乎可以与任意一种计算机技术紧密结合――密码学、程序设计语言、操作系统、数据结构。而由于这样或者那样的原因，对于这一领域的关注程度一直还处于低温状态。而这本书相信会为更多对知识怀有渴望的朋友多开辟一条走向这个领域的道路，并且进而推动这个领域的不断发展。

原帖地址：https://bbs.pediy.com/thread-247264.htm