笔者最近在看《恶意代码分析实战》这本书，这本书和《黑客大曝光》等著名书籍合称为信息安全界的圣经。

笔者强烈推荐想入门逆向和病毒分析的简友阅读本书，本书由浅入深，从零开始教你如何分析和调试一个恶意程序。而且此书有一个好处就是:它专门有一个章节来教你汇编语言。这就省去了看本书前系统的学习汇编语言的步骤，指令地址和内存地址这些会让你兴趣心骤减。

图片发自简书App

需要声明的是：

笔者从未系统学习过WindowsAPI和WindowsPE的知识，完全是跟着这本书来学习的。而且笔者文笔不好，有疏漏和写错的地方请在评论区提醒我，谢谢。

0x00 要用到的工具

WinMD5:用来计算MD5的图形化界面工具，类似的还有在命令行模式下使用的md5deep工具。

Strings：用于从可执行程序中查看所有ASCII和Unicode字符串的工具。

① Strings是在命令行模式下使用的工具，在使用前要将Strings程序所在目录配置到环境变量Path中                                                                                            ② 由于Strings扫描程序字符串的时候会忽略上下文和格式，所以它将会列出程序中所有的可打印字符串，其中大部分是无效字符串，需要我们自己过滤掉。

PEiD:专业的查壳工具，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。

DependencyWalker:又被称为“DLL依赖性分析工具”，主要用来查看程序PE模块的导入模块以及PE模块的导入和导出函数。

PEview:用于浏览程序PE文件格式头部中的信息。

ResourceHacker:用于查看，修改，添加和删除Win32可执行程序资源的工具。

0x01 常见DLL程序

Kernel32.dll:这是一个很常见的DLL，它包含核心系统功能，如访问和操作内存、文件和硬件等等。

Advapi32.dll:这个DLL提供了对核心Windows组件的访问，比如服务管理器和注册表。

User32.dll:这个DLL中包含了所有用户界面组件，如按钮、滚动条以及控制和响应用户操作的组件。

Gdi32.dll:这个DLL中包含了图形显示和操作的函数。

Ntdll.dll:这个DLL是Windows内核的接口。可执行文件通常不直接导入这个函数，而是由Kernel32.dll间接导入，如果一个可执行程序导入了这个文件，这意味着作者企图使用那些不是正常提供给Windows程序使用的函数。一些如隐藏功能和操作进程等任务会使用这个接口。

Wsock32.dll和Ws2_32.dll:这两个是联网DLL，访问其中任何一个DLL的程序非常可能会连接网络，或是执行网络相关的任务。

Winnet.dll:这个DLL包含了更高层次的网络函数，实现了如FTP、HTTP和NTP等协议。

0x02 PE文件头的分节

.text 该节包含了CPU执行指令以及所有其他节存储和支持性的信息。一般来说，这是唯一可以执行的节，也应该是唯一包含代码的节。

.rdata 该节通常包含导入和导出函数信息，与DependencyWalker和PEview工具所获得的信息是相同的。这个节中还可以存储程序所使用的其他只读数据。有些文件中还会包含.idata和.edata节来存储导入和导出信息。

.data 该节包含了程序的全局数据，可以从程序的任何地方访问到。本地数据并不存储在这个节中，而是PE文件某个其他位置上。

.rsrc 该节包含由可执行文件所使用的资源，而这些内容并不是可执行的，比如图标、图片、菜单项和字符串等。字符串可以存储在.rsrc节中，或在主程序里。在.rsrc节中经常存储的字符串是为了提供多语种支持的。

.idata 有时会显示和存储导入函数信息，但如果这个节不存在，则导入函数信息会存储在.rdata节中。

.edata 有时会显示和存储导出函数信息，但如果这个节不存在，则导入函数信息会存储在.rdata节中。

.pdata 只在64位可执行文件中存在，存储异常处理信息。

.reloc 包含用来重定位库文件的信息

0x03 一些小提示

加壳或混淆代码通常至少会包含LoadLibrary和GetProcAddress函数

用Strings扫描程序字符串时，未加壳程序大多总会包含很多字符串，而被加壳或混淆的则只能分析获取到很少的可打印字符串

一些以Ex为后缀的函数名（例如CreateWindowEx），是微软在更新一个函数并且新函数与原先函数不兼容的时候为了继续支持原先的旧函数而在新函数相同名字后加上Ex后缀而存在的

以字符串为参数的许多函数，在他们的名字后面会包含一个A或者一个W，如CreateDirectoryW，这个字母A或W在这个函数的文档中并没有出现。它只是表明接收字符串参数的函数有两种不同的版本：以A结尾的输入参数类型为ASCII字符串，而以W结尾的输入参数以宽字符字符串。当你在微软的文档中搜索这个函数时，你需要记得丢掉后缀的A或者W

在使用PEview查看分节信息的时候，若分节的虚拟大小（Virtual Size）比原始数据（Size of Raw Data）大的多，你便知道这个节在内存中占用了比磁盘上存储更多的空间，这往往意味着加壳代码的存在，特别是当.text分节在内存中较磁盘上更大一些时

0x04 最后

除了0x00中介绍的一些工具之外，还存在着很多可以用来浏览PE文件头的其他工具，其中两个最有用的就是PEBrowse Professional和PE Explorer。

PEBrowse Professional与PEview类似，它允许你查看每个分节中的字节，并显示出解析后的数据。而且PEBrowse Professional在呈现资源节（.rsrc）获取的信息上做的更好。

PE Explorer一个功能丰富的图形用户界面，要你可以方便的浏览PE文件的各个部分。你还可以编辑PE文件的特定部分，它所包含的资源编辑器对于浏览和编辑文件资源来说是非常棒的。

第一次码这么多次，手都快抽筋了……