作为一个有信心、喜欢信安、想要变得更强大的小白,我想要在信安这一块获得更大的快乐,把头发变得更少,所以我决定要搞二进制;那么对于二进制里面的一些东西,我要一步一步去了解;
二进制工具以及用法笔记
要想搞好二进制,一些工具是必须的:
peid 用于查壳和部分脱壳
ida 静态反编译
ollydbg 动态跟踪工具
在线工具…
一、peid
说到peid的查壳功能,那么什么是壳?为什么会需要查壳呢?
壳的概念:
从技术的角度出发,壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……当加壳后的文件执行时,壳-这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP(入口点,防止被破解)。
作者编好软件后,编译成exe可执行文件。1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些软件称为加壳软件。
所以为了破解一些软件或者程序,首先弄清楚它用的什么样的防盗门,然后使用专业的开锁工具(一般可以用peid提供的通用去壳器或者加插件)去敲开它的门,然后进入它的体内,然后探寻生命的奥秘(咳咳…),总之,为了我们的破解,就需要一款能够查到它用的什么门(什么壳)并且对于一些通用壳有一定的去壳功能的软件,peid就是这样的一款软件,可以查出这个软件用的什么壳,然后可以用通用的去壳器处理一下;
破开门之后的的程序,仅仅是把门给去掉了,那么这个程序可以由高级语言去写,高级语言又分好多种,也可以用汇编语言去写(可能性不太大)所以我们应该怎么去看这个程序怎么运行的,原码是什么呢?这就要用到ida和ollydbg了
二、ida
是一款静态反汇编软件,意思就是不管什么高级语言,都有一个共同之处,就是高级语言写出之后,是有一个编译的过程的,编译会使高级语言装换成汇编等低级语言,也就是计算机能识别并运行写语言;那么我不管高级语言是什么,我直接反汇编得到这个程序的汇编语言的源码(虽然极其难以理解并可读性不大),这样就可以辅助我们进行一些功能的理解,得出程序的核心算法是什么,还可以将其一键智能化为伪代码,虽然代码不可以直接执行并且会有一些错误,但是仍然能够为我们读懂程序的源码作出一些帮助;下面是一些功能以及快捷键:
至于ida页面上的东西都代表什么意思,这个在这里就不过多说明;
导航条:
蓝色 表示常规的指令函数
黑色 节与节之间的间隙
银白色 数据内容
粉色 表示外部导入符号
暗黄色 表示ida未识别的内容
sub_开头的函数一般是用户自定义的函数
f5 查看伪代码
Ctrl+Enter 前进
Esc 返回上一个操作地址
空格:切换文本视图与视图视表
G 搜索地址或符号
alt+t 搜索文本
alt+b 搜索十六进制
n 对于函数等重命名
shift +f12可以罗列出所有字符串 也是菜单中打开view-opensubview-strings
h 数值转化 十进制、十六进制之间相互装换
打开断点列表 CTRL+ALT+B
单步步入 F7
单步不过 F8
运行到函数返回地址 CTRL+F7
运行到光标处 F4
三、ollydbg
是一款可以动态追踪的反汇编软件,可以进行调试,对于ida来说,就是一个静态的页面,可以把代码反汇编一下,但是代码之间是怎么运行的,怎么跳转的,就只能就人眼去看,所以ollydbg可以单步运行,动态的跟踪代码,并且知道代码的跳转情况,一般来说,都是ida和ollydbg一同使用,来达到我们的目的;
OllyDBG 有两种方式来载入程序进行调试,第一种是点击菜单 文件->打开 (快捷键是 F3)来打开一个可执行文件进行调试,另一种是点击菜单 文件->附加 来附加到一个已运行的进程上进行调试(注意这里要附加的程序必须已运行)
f2 设置断点
F3 加载一个可执行程序
f4 运行到光标所在位置暂停
F5 缩小、还原当前窗口
f7 单步步入
f8 单步步过
f9 运行到断点
Ctrl + F2 重新运行程序到起始处
ctrl+f9 运行到第一个ret暂停;执行到函数返回处
Ctrl + G 输入十六进制地址,快速定位到该地址处
Alt + F9 执行到用户代码处,用于快速跳出系统函数
Ctrl+F -开始命令搜索。
这里附上一个链接,里面的快捷键方式很全:https://www.52pojie.cn/thread-227097-1-1.html
