逆向名词
一、运行程序的基础知识:
1、PE文件:
全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
2、模块基址:
解释为模块的基地址;比如模块为Dll,程序初次加载模块时将赋予它一个内存地址,这个地址在进程生命周期内不会变动且重新打开进程时也不会改变(在不同电脑或打开多个该程序,该基地址都不会变),该地址为模块的基地址。
3、IAT:
Import Address Table(导入地址表),当PE文件(如:DLL)被装入内存时,“导入表”与“导入地址表”可将调用导入函数的指令和函数实际所处的地址联系起来(动态连接)。“导入表”储存着导入函数的信息(比如函数名),“导入地址表”储存其他模块(DLL)的函数指针。
4、SSDT:
System Services Descriptor Table(系统服务描述符表),ssdt表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
5、RING0~3:
Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3。RING0层拥有最高的权限,RING3层拥有最低的权限。按照Intel原有的构想,应用程序工作在RING3层,只能访问RING3层的数据,操作系统工作在RING0层,可以访问所有层的数据,而其他驱动程序位于RING1、RING2层,每一层只能访问本层以及权限更低层的数据。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。
二、加壳:
1、SE:
指Safengine加密软件,可以理解为Secure Element(安全模块),一款强壳加密软件。
2、TMD:
指Themida加密软件,自述为先进的Windows软件保护系统,被用于满足软件开发人员对于所开发应用程序安全保护的需求,使其远离被先进的逆向工程和软件破解的危险。
3、VMP:
指Virbox Protector软件,可以理解为Virtual Machine Planner(虚拟机规划器)。对代码进行虚拟化/混淆/代码加密/压缩等多种保护方式,一种难破解的加密技术。
4、HVM :
指DNGuard HVM加密软件,.NET代码保护的一款软件,具有内核级的代码混淆、.Net 加密保护、虚拟机保护功能。
二、脱壳:
1、CE:
指Cheat Engine软件,开源的内存搜索软件,它还包括了很多调试工具。示例程序的教程:游戏修改器制作教程三:内存与Cheat Engine
2、OD:
指OllyDbg软件,Windows程序反汇编调试器,不能调试Ring0层(内核态)。
3、WinDbg:
WinDbg是微软发布的调试工具,支持32位和64位程序,可以调试Ring0层(内核态)。
4、IDA Pro:
专业级静态调试器。
本文来自博客园,作者:꧁执笔小白꧂,转载请注明原文链接:https://www.cnblogs.com/qq2806933146xiaobai/p/13940729.html
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Java 中堆内存和栈内存上的数据分布和特点
· 开发中对象命名的一点思考
· .NET Core内存结构体系(Windows环境)底层原理浅谈
· C# 深度学习:对抗生成网络(GAN)训练头像生成模型
· .NET 适配 HarmonyOS 进展
· 本地部署 DeepSeek:小白也能轻松搞定!
· 如何给本地部署的DeepSeek投喂数据,让他更懂你
· 从 Windows Forms 到微服务的经验教训
· 李飞飞的50美金比肩DeepSeek把CEO忽悠瘸了,倒霉的却是程序员
· 超详细,DeepSeek 接入PyCharm实现AI编程!(支持本地部署DeepSeek及官方Dee