一、前言

        话说那是一个风和日丽的忘了哪天，本菜鸡跟着大佬去参加某省hvv。在山重水复之际，某大佬一手钓鱼邮件靓丽的文案成功的挽救了败局，直接刷新本菜鸡的三观，直呼我也想变得跟大佬一样强。然而钓鱼最关键的就是免杀，在杀毒软件日新月异的今天，没有一款免杀技术可以持久的、长期的发挥作用，需要根据大佬们自身的经验和想法来修改木马文件。再加上本菜鸡又只会一点点点python，c语言什么的更是没接触过，就像无头苍蝇乱撞一通，在大量查找资料的时候，在大佬的一篇shellcode基础里分析木马文件里了解到了使用x64dbg调试生成好的木马文件。从而又发现了多种资源监视的工具，可以很好地方便分析钓鱼邮件。对着x64dbg又摸索了一通之后，鬼使神差的又逛到了52破解论坛，直接给我打开了新世界的大门。学了一段时间之后，发现逆向真的是很有趣，也很贴近生活。小时候为什么想当黑客呢？因为没钱，想白嫖，觉得可以干很多干不了的事情。找回了当年的心情，开始了学习逆向之旅。

        ps：这两天莫名其妙都起得贼早。。然后终于想写点东西了，大晚上的，谁还不是个思想家呢

        pps：碎碎念结束，接下来开始进入正题

二、窥视

        我们都知道，编程语言如果需要封装成可执行文件，都需要经过编译。日常生活中所见到的exe，都是通过各种语言经过编译器编译等操作之后，封装成我们所看到的可执行文件，不同的语言有不同的封装过程。那么所谓逆向，自然就是把现有的可执行文件尽可能的往源代码方向恢复，这样才能了解程序的内部运行逻辑，寻找可能的突破点。然而想要完全恢复成源代码是不现实的，所以逆向工具只能将二进制程序反编译为汇编代码，或者更高级的伪代码状态。

那么什么是汇编代码呢？

        汇编语言（Assembly Language）是任何一种用于电子计算机、微处理器、微控制器或其他可编程器件的低级语言，亦称为符号语言。在汇编语言中，用助记符代替机器指令的操作码，用地址符号或标号代替指令或操作数的地址。在不同的设备中，汇编语言对应着不同的机器语言指令集，通过汇编过程转换成机器指令。特定的汇编语言和特定的机器语言指令集是一一对应的，不同平台之间不可直接移植。

        汇编语言是基于 机器语言 的指令集封装。机器语言是机器能直接识别的程序语言或指令代码，无需经过翻译，每一操作码在计算机内部都有相应的电路来完成它，或指不经翻译即可为机器直接理解和接受的程序语言或指令代码。

       不管是机器语言还是汇编语言，显然人的接受程度都不高，因为它们和人类的正常思维及都相距甚远。为了方便移植和提高效率，设计一个接近于人们正常语言又能在不同硬件上运行的程序迫在眉睫。于是高级语言边应运而生。高级语言是一类语言，我们常见的如c、c++、python、php、java、易语言等等都是高级语言。

        有兴趣可自行查找相关资料，了解各种语言的编译过程。

c/c++程序的生成过程

c语言程序的生成过程

上图为c语言程序的生成过程，在此引用追影人大佬在逆向工厂一文中做的描述：

    编译是指编译器将源代码进行词法和语法的分析，将高级语言指令转换为汇编代码。主要包含3个步骤：

        1、预处理。正式编译前，根据已放置在文件中的预处理指令来修改源文件的内容，包含宏定义指令，条件编译指令，头文件包含指令，特殊符号替换等。

        2、编译、优化。编译程序通过词法分析和语法分析，将其翻译成等价的中间代码表示或汇编代码。

        3、目标代码生成。将上面生成的汇编代码译成目标机器指令的过程。目标文件中所存放着与源程序等效的目标的机器语言代码。

链接是指将有关的目标文件彼此相连接生成可加载、可执行的目标文件，其核心工作是符号表解析和重定位。链接按照工作模式分静态和动态链接两类：

        静态链接：链接器将函数的代码从其所在地（目标文件或静态链接库中）拷贝到最终的可执行程序中，整个过程在程序生成时完成。静态链接库实际上是一个目标文件的集合，其中的每个文件含有库中的一个或者一组相关函数的代码，静态链接则是把相关代码拷贝到源码相关位置处参与程序的生成。

        动态链接：动态链接库在编译链接时只提供符号表和其他少量信息用于保证所有符号引用都有定义，保证编译顺利通过。程序执行时，动态链接库的全部内容将被映射到运行时相应进程的虚地址空间，根据可执行程序中记录的信息找到相应的函数地址并调用执行。

经过编译链接后，程序生成，windows程序则都已PE文件形式存储。

PE文件全称Portable Executable，意为可移植可执行文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件。 PE文件以段的形式存储代码和相关资源数据，其中数据段和代码段是必不可少的两个段。

Windows NT 预定义的段分别为.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。这些段并不是都是必须的，另外也可以根据需要定义更多的段，常见的一些加壳程序则拥有自己命名的段。

在应用程序中最常出现的段有以下6种：

1、执行代码段，.text命名；

2、数据段，.data、.rdata 命名；

3、资源段，.rsrc命名；

4、导出表，.edata命名；

5、导入表，.idata命名；

6、调试信息段，.debug命名。

下图为一个标准的PE文件结构。

PE文件结构

以上便是追影人大佬关于c语言程序生成过程的讲述，因为本菜鸡对这类底层知识也是初学者，所以大佬肯定讲的比较透彻。

程序是如何运行的

        我们都知道后缀名在系统中仅仅只是操作系统标记文件类型的一种机制，并不能体现文件自身的结构类型。那么我们在双exe、word等为后缀名的程序之后，windows系统便会根据后缀名在注册表查找相应的启动程序。在这里我们点击exe为扩展名的文件，便是调用系统对改程序进行运行。

那么系统如何运行可执行程序？

系统将其装载进内存里，包括其中的代码段、数据段等，在内存中执行相关程序。

有需要进一步了解程序的运行机制的也可搜索相关资料参考，涉及计算机的一些底层原理

程序的装载过程

为了程序运行速率，任何程序在运行时，都是有一个叫做“装载器”的程序先将硬盘上的数据复制到内存，然后才让CPU来处理，这个过程就是程序的装载。装载器根据程序的PE头中的各种信息，进行堆栈的申请和代码数据的映射装载，在完成所有的初始化工作后，程序从入口点地址进入，开始执行代码段的第一条指令。

ps:故而在逆向过程中，特别是加壳程序，寻找程序的入口点尤为重要

为什么要逆向？

1.破解正版软件的授权

2.挖掘安全漏洞，分析病毒文件

3.提升自我

4.还原非开源项目

想必在了解这些内容之后，会更好的理解逆向及其含义。

在此再次感谢追影人大佬，使我在繁杂的探索过程中看见了曙光~~