逆向的简单理解

正向开发，是先写代码，再编译成软件。而逆向分析，到手的只有软件。从软件入手，推测对应的代码，需要了解一下编译之后的软件是怎么跑起来的。

软件运行过程

1、软件加载到内存。

2、CPU读取内存的指令。

3、根据指令，再读取数据，进行运算。

4、运算的过程，数据是存在CPU里面的寄存器。

5、运算过程，用到另一个功能，需要保存当前环境，存到堆栈。

代码语言的变化

1、C/C++语言：高级语言，给人看的

2、汇编语言 ：低级语言，给机器用的

（逆向分析，接触多是汇编语言）

软件加载过程

磁盘 >>内存>>寄存器

1、代码编译成软件，先放在磁盘（C盘，D盘这些）

2、开始运行的时候，就会加载进内存（平时说的内存条）

3、真正运行的是在CPU（也就是所谓的芯片），里面存数据的地方叫寄存器。

软件的构成

1、软件的外部

包含：一个主要程序（exe后缀），多个独立库（dll后缀）。

内存一开始加载exe，有必要的时候，exe再把dll加载进内存来。

exe或者dll在内存的开始位置，叫做基址。（每次加载，随机放置，基址不固定）

exe或者dll里面和基址的距离，叫做偏移。（每次加载，内部不变，偏移固定）

打个比喻：exe和dll相当小尺子，要放在内存这个大尺子上。

大尺子上只要有空位，小尺子就可以随便放。

小尺子不管怎么放，里面的刻度固定的。

2、软件的内部

软件 = 代码 + 数据

数据 = 静态数据 （数据不会变）+ 动态数据 （数据会改变）

动态数据 = 全局数据 （多个函数共用）+ 局部数据（单个函数私有）

代码和静态数据在软件运行过程不会改变，位置固定，可以方便使用。

全局数据，因为是共用的，位置固定，也可以方便使用。

所以这三种的偏移是不变的。

内存地址 = 基址 + 偏移。

基址可以用GetModuleHandle得知。

偏移又是不变的，内存地址也就可以算出来了 。

而偏移会变化的局部数据，就不能直接算出来了。

局部数据，是软件运行过程中，临时生成又销毁的。

所以要获取局部数据，只能在软件的运行过程进行拦截。(也就是所谓的HOOK)

逆向分析目的（重点）

逆向分析的两个目的

1、调用功能

2、获取数据

通过上面的原理可以知道

1、调用功能

代码是固定的，找到偏移，就可以调用。

2、获取数据

对于全局数据，找到偏移，就可以得到。

对于局部数据，需要拦截，才可以得到 。

（拦截的是代码，所以要找代码的偏移）

所以，逆向的核心点，是找固定的偏移。