第1章WindowsPE开发环境探究.ppt

Windows PE权威指南 作者 戚利 出?版社 机械工业出版社 ;;为什么研究PE;开发语言：MASM32 源程序的编辑器：记事本 notepad 动态调试器OllyDBG 静态调试器W32DASM 字节码的阅读器和编辑器FlexHex、Winhex PE文件查看修改工具PEditor ;开发语言MASM32;开发语言MASM32; .386 .model flat,stdcall option casemap:none ？;include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib 引入外部的动态链接库，这些库里有本程序需要的函数-代码重用 ;;数据段 .data szText db HelloWorld,0 ?;要显示的信息 ;代码段 .code start: invoke MessageBox,NULL,offset szText,NULL,MB_OK invoke ExitProcess,NULL end start ;invoke MessageBox,NULL,offset szText,NULL,MB_OK Invoke-并不是80386处理器的指令，而是一个MASM编译器的伪指令 调用WINDOWS API，或调用汇编子程序。 格式为invoke 程序名,参数1,参数2,… 参数2先入堆栈，参数1再入堆栈，以此类推 如invoke mysubpro,eax,ecx 编译器会编译成下面这个模样： push ecx push eax call mysubpro;invoke MessageBox,NULL,offset szText,NULL,MB_OK Win32程序是构筑在Win32 API基础上的。 在Win32 API中，包括了大量的函数、结构和消息等， 它不仅为应用程序所调用，也是Windows自身的一部分，Windows自身的运行也调用这些API函数。 MessageBox win32 API函数，由user32.dll提供 MessageBoxA-窄字符:ANSI MessageBoxW-宽字符:unicode;Microsoft-《Microsoft Win32 Programmer‘s Reference》中定义了常用API的参数和函数声明，消息框函数的声明： int MessageBox( HWND hWnd, // handle to owner window窗口句柄 LPCTSTR lpText, // text in message box要显示的字符串地址 LPCTSTR lpCaption, // message box title标题字符串地址 UINT uType // message box style消息框类型 ); 最后还有一句说明： Library: Use User32.lib-说明了这个函数包括在User32.dll中 invoke MessageBox,NULL,offset szText,NULL,MB_OK ;研究EXE文件内部指令跳转、病毒分析、逆向工程; 该位置处的数据是一个内存地址，该地址指向了kernel32.dll动态链接库中函数ExitProcess的真实位置。 ;包含了所有的32位寄存器：eax、ebx、ecx、esi、edi等 ebp 栈基地址指针 esp栈顶指针 eip 指向下一条要执行的指令的位置;指定内存范围的字节码;反映了当前栈的分配情况及栈在程序与栈在程序运行过程中的变化情况。;F8：单步步过。每按一次这个键执行一条反汇编窗口中的一条指令，遇到?CALL?等子程序不进入其代码。 F7：单步步入。功能同单步步过(F8)类似，区别是遇到?CALL?等子程序时会进入其中，进入后首先会停留在子程序的第一条指令上。 ;左右分别是指令执行后栈的变化情况;PUSH hellowor 即指向szText;call指令处使用F8，不会内部跟踪该函数，直接给出结果。开始的1000H为.rdata区，输入表。 查看这部分内容。;EXE文件被装载到内存后的部分结构;对目标EXE文件进行修改 将显示信息HelloWorld更改为GoodMorning;;Windows PE 开发环境;破解软件注册-思路