实习记录1

第一天

下载工具：

• IDA Pro 7.0 ： https://www.52pojie.cn/thread-675251-1-1.html
• PandDownload： https://www.52pojie.cn/thread-644721-1-1.html
• OllyDbg： https://www.52pojie.cn/thread-350397-1-1.html

第二天

函数调用约定：

• __cdecl:C调用约定，由调用者平衡堆栈,例如函数test1(arg1， arg2， arg3);

push arg3; 参数入栈
push arg2;
push arg1;
call test1;
add esp, 0x0C; 平衡堆栈，三个参数（0x4*3=0xC）

• __stdcl:标准调用约定，由被调用的函数平衡堆栈，同上例;

push arg3;
push arg2;
push arg1;
call test1; 在test1函数内自己平衡堆栈。

OllyDbg调试技巧：

• 遇到循环的时候可以在循环结束的下一条指令下一个断点，然后点击[Run program]或者F9执行程序到断点，就可以跳过漫长的循环执行。
• EAX是函数的返回值，注意要经常观察返回值，判断函数的执行是否成功！
• ECX常做为循环的计数值，在动态调试的时候也要注重同IDA中的汇编代码对比，这样比较容易找到程序执行的流程。
• 很重要的两个调试快捷键，F7单步步进，即进入被调用的函数内一步步执行；F8单步步过，同前者相反；调试过程中需要灵活使用这两种调试方式，
  避免不必要调试过程。

其他：

• HFS：HTTP File Server，一个用来简单搭建本地http文件服务器的软件，使用很方便。
• 修改HOSTS文件使得域名指向本机，就可以访问HFS搭建的东西了。
• 几个和网络相关的函数的作用：
  1. InternetOpenA：初始化一个应用对于WinInet网络函数的使用，返回一个句柄，类型为hInternet。
     https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetopena
  2. InternetOpenUrlA：打开由完整FTP或HTTP URL指定的资源，第一个参数为上一个函数返回的句柄。
     https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetopenurla
  3. InternetCloseHandle：唯一的一个参数hInternet，关闭句柄。
  4. InternetCheckConnectionA：检查本机是否连接到外网，允许应用程序检查是否可以建立与Internet的连接；
     https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetcheckconnectiona
  5. InternetReadFile：读取参数中目标URL的文件数据。
     从InternetOpenUrl， FtpOpenFile或 HttpOpenRequest函数打开的句柄中读取数据。
     https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetreadfile