黑客經驗筆記之逆向 時間：2016-07-22   作者：網絡轉載  來源：轉載  欄目：行業知識

1、常見壓縮殼：UPX、ASPACK、NSPACK。

2、常見加密殼：Asprotect、Zprotect、Yoda、Telock、Svkp。

3、常見虛擬機保護殼：Vmprotect、Themida、WinLicense 。

4、常用動態調試工具：ollydbg、Immunitydbg、Windbg，其中ollydbg使用最多，逆向必備，Immunitydbg為Immunity公司對ollydbg之后的改進版，支持Python腳本，但是斷點不能保存，更適合漏洞利用領域，Windbg界面不甚友好，但是微軟自家的東西對windows系統支持很好，調試內核驅動程序必備，三者都支持自定義腳本編寫。

5、常用靜態分析工具：Win32Dasm、Ida pro，Win32Dasm已經停止更新了，Ida功能更強更常用，結合hex插件反編譯出C程序代碼的效果極佳哦。

6、Peid是目前最常用的查殼類型的工具，內置有外殼特征庫及識別算法，也可以自己下載特征庫自制查殼工具。

7、DeDe是逆向分析Delphi及Brond C++程序的利器，可以看到窗體及其它資源的信息，還可以查看對應按鈕等的處理程序，便于快速定位分析。

8、機器碼：用二進制代碼表示的計算機能直接識別和執行的一種機器指令的集合，一般反匯編出的結果為16進制顯示，如空指令nop的機器碼為90（16進制）;

9、斷點：調試器的功能之一，可以讓程序中斷在需要的地方，常用的斷點包括：INT3斷點（也稱軟斷點）、硬件斷點（利用CPU的調試寄存器設置）、內存斷點（利用操作系統的缺頁異常處理機制）、消息斷點、條件斷點等。

10、硬件斷點利用CPU的調試寄存器，最多只能設置4個，在軟斷點被檢測的多時下硬件斷點和內存斷點也是極好的。

11、調試器的單步跟蹤是結合的調試器軟斷點機制，在調試器中實現的逐指令或逐過程執行程序。

12、父進程：指已創建一個或多個子進程的進程，調試器如Ollydbg一般使用打開或附加的方式調試程序，調試器就作為調試程序的父進程，一般正常的應用程序是由explorer.exe創建的，父進程就是explorer.exe等，可以利用這個特點做反調試。

13、堆棧平衡定律：手工脫殼時利用外殼程序首先需要保存原程序的入口信息（寄存器、堆棧使用情況等），通過標記剛加載時入口點的堆棧位置，等外殼程序恢復原程序的ESP寄存器值的時候，一般就到了OEP位置附近。

14、內存訪問斷點：根據操作系統的內存管理機制，經常未使用的內存頁不會放置在緩存中，當程序需要訪問到該頁內存時就會觸發缺頁異常，就會交給調試器處理，而外殼程序完成原程序各個區段的解壓操作之后會跳轉到原程序開始執行，在使用Ollydbg調試器手工脫殼時，可以手工設置內存訪問斷點，當程序解壓完某個區段之后會自動中斷在缺頁異常處，再進行單步跟蹤就能到達OEP處。

15、shellcode：一段完成特定功能的代碼，一般用于獲取主機權限，常見的有新建用戶、彈出消息框（測試用）、綁定端口等，與溢出漏洞聯系緊密，經常在利用漏洞獲取程序控制權之后執行得到被攻擊主機的部分權限。

16、網頁掛馬一般利用瀏覽器或其插件在解析特定網頁過程中的漏洞控制瀏覽器程序流程執行shellcode（一般為反彈連接或是下載并執行惡意程序的功能），用戶在使用瀏覽器訪問不明鏈接時就可能成為被控制的“肉雞”，現在國內主機WindowsXp+IE8的仍然占很大分量，很危險(⊙o⊙)哦，Windows7下則安全的多。

17、軟件加殼過程一般是將原程序的代碼數據等壓縮或加密處理，在程序中新建一個區段存放外殼代碼，并修改程序入口使外殼部分代碼先于原程序開始執行，在完成原程序數據的解壓縮或解密之后再跳轉到原程序的代碼執行。

18、內存偏移地址：也叫VA，在保護模式下程序被加載到內存后，操作系統為其分配了自己獨立的4GB虛擬內存空間，在這個空間定位的地址就稱為虛擬內存地址，范圍為0×00000000~0xffffffff，相對于0×00000000的偏移稱為內存偏移地址。

19、區段：也可以稱為“節”、“區塊”，用于存放可執行程序不同類型數據的地方，如代碼段、數據段、資源段等，將程序的數據放置在不同的區段可以設置不同的權限便于管理，實際存放的數據類型或區段名稱可以根據根據需要靈活設置。