《灰帽Python-黑客和逆向工程师的Python编程》学习记录

ctypes是Python语言的一个外部库，提供和C语言兼容的数据类型，可以很方便的调用C DLL中的函数。

操作环境：CentOS6.5

Python版本：2.66

    ctypes是强大的，强大到本书以后介绍的几乎所有库都要基于此。使用它我们就能够调用动态链接库中函数，同时创建各种复杂的C数据类型和底层操作函数。毫无疑问，ctypes就是本书的基础。

第一章 搭建开发环境

1.3.2 使用动态链接库

from ctypes import *
libc = CDLL("libc.so.6")
message_string = "Hello world!\n"
libc.printf("Testing:%s",message_string)

[root@evilxr python_test]# python huimao.py 
Testing:Hello world!

1.3.3 构造C数据类型

　　使用Python创建一个C数据类型很简单，你可以很容易的使用由C或者C++些的组件。下面显示了三者之间的对于关系。

_______________________________________________________________________________

C Type                      Python Type           ctypes Type

_______________________________________________________________________________

char                      1-character string            c_char

wchar_t                   1-character Unicode string     c_wchar

char                      int/long                    c_byte

char                      int/long                    c_ubyte

short                     int/long                    c_short

unsigned short            int/long                    c_ushort

int                       int/long                    C_int

unsigned int              int/long                    c_uint

long                      int/long                    c_long

unsigned long             int/long                    c_ulong

long long                 int/long                    c_longlong

unsigned long long        int/long                    c_ulonglong

float                     float                       c_float

double                    float                       c_double

char * (NULL terminated)     string or none           c_char_p

wchar_t * (NULL terminated)  unicode or none          c_wchar_p

void *                       int/long or none         c_void_p

1.3.5 定义结构体和联合

from ctypes import *

class barley_amount(Union):
        _fields_ = [
        ("barley_long", c_long),
        ("barley_init", c_int),
        ("barley_char", c_char*8),      
        ]
value = raw_input("Enter the amount of barey to put into the beer vat:")
my_barley = barley_amount(int(value))
print "Barley amount as a long:%ld"% my_barley.barley_long
print "Barley amount as an int:%d" % my_barley.barley_long
print"Barley amount as a char:%s" % my_barley.barley_char

　结果：

[root@evilxr huimao]# python 1.py 
Enter the amount of barey to put into the beer vat:67
Barley amount as a long:67
Barley amount as an int:67
Barley amount as a char:C

　　其中67是C的ASCII码。

第二章 调试器设计

　　a.黑盒测试与白盒测试

许多的开发平台都会包含一个自带的调试器，允许开发工具结合源代码对程序进行精确的跟踪测试。这就是白盒调试。当我们很难得到源代码的时候，开发者，逆向工程师，Hacker就会应用黑盒调试跟踪目标程序。黑盒调试中，被测试的软件对黑客来说是不透明的，唯一能看到的就是反汇编代码。这时候要分析出程序的运作流程，找出程序的错误将变得更复杂，花费的时间也会更多。但是高超的逆向技术集合优秀的逆向工具将使这个过程变得简单，轻松，有时候善于此道的黑客，甚至比开发者更了解软件:)。

　　b.黑盒测试的两种模式

用户模式 和 内核模式。用户模式（通常指的是ring3级的程序）是你平时运行用户程序的一般模式（普通的程序）。用户模式的权限是最低的。当你运行“运算器（cacl.exe）[Windows]、bc[Linux]”的时候，就会产生一个用户级别的进程；对这个进程的调试就是用户模式调试。核心模式的权限是最高的。这里运行着操作系统内核，驱动程序，底层组件。当运行Wireshark嗅探数据包的时候，就是和一个工作在内核的网络驱动交互。如果你想暂停驱动或者检测驱动状态，就需要使用支持内核模式的调试器了。

　　c.PyDbg和Immunity

PyDbg (byPedram Amini)和Immunity Debugger (from Immunity, Inc.)。PyDbg 是一个纯Python实现的调试器，让黑客能够用Python语言全面的控制一个进程，实现自动化调试。Immunity调试器则是一个会让你眼前一亮的调试器，界面相当的友好，类似OllyDbg，但是拥有更强大的功能以及更多的Python调试库。这两个调试器在本书的后面章节将会详细的介绍。现在先让我们深入了解调试器的一般原理。

2.1通用CPU寄存

     CPU的寄存器能够对少量的数据进行快速的存取访问。在x86指令集里，一个CPU有八个通用寄存器：EAX, EDX, ECX, ESI, EDI, EBP, ESP和 EBX。还有很多别的寄存器，遇到的时候具体讲解。这八个通用寄存器各有不同的用途，了解它们的作用对于我们设计调试器是至关重要的。让我们先简略的看一看每个寄存器和功能。最后我们将通过一个简单的实验来说明他它们的使用方法。
        EAX寄存器也叫做累加寄存器，除了用于存储函数的返回值外也用于执行计算的操作。许多优化的x86指令集都专门设计了针对EAX寄存器的读写和计算指令。列如从最基本的加减,比较到特殊的乘除操作都有专门的EAX优化指令。 
   前面我们说了，函数的返回值也是存储在EAX寄存器里。这一点很重要，因为通过返回的EAX里的值我们可以判断函数是执行成功与否，或者得到确切返回值。
        EDX寄存器也叫做数据寄存器。这个寄存器从本质上来说是EAX寄存器的延伸，它辅助EAX完成更多复杂的计算操作像乘法和除法。它虽然也能当作通用寄存器使用，不过更多的是结合EAX寄存器进行计算操作。  
        ECX寄存器，也叫做计数寄存器，用于循环操作，比如重复的字符存储操作，或者数字统计。有一点很重要，ECX寄存器的计算是向下而不是向上的（简单理解就是用于循环操作时是由大减到小的）。

看一下下面的Python片段：
___________________________________________________________________________

counter = 0

while counter < 10:

     print "Loop number: %d" % counter

     counter += 1
_______________________________________________________________________________

             如果你把这代码转化成汇编代码，你会看到第一轮的时候ECX将等于10，第二轮的时候等于9，如此反复知道ECX减少到0。这很容易让人困惑，因为这和Python的循环刚好代码相反，但是只要记得ECX是向下计算的就行了。
         在x86汇编里，依靠ESI和EDI寄存器能对需要循环操作的数据进行高效的处理。ESI寄存器是源操作数指针，存储着输入的数据流的位置。EDI寄存器是目的操作数指针，存储了计算结果存储的位置。简而言之，ESI（source index）用于读，EDI（destination index）用于写。用源操作数指针和目的操作数指针，极大的提高了程序处理数据的效率。
        ESP 和 EBP 分别是栈指针和基指针。这两个寄存器共同负责函数的调用和栈的操作。当一个函数被调用的时候，函数需要的参数被陆续压进栈内最后函数的返回地址也被压进。ESP指着栈顶，也就是返回地址。EBP则指着栈的底端。有时候，编译器能够做出优化，释放EBP，使其不再用于栈的操作，只作为普通的寄存器使用。
        EBX是唯一一个没有特殊用途的寄存器。它能够作为额外的数据储存器。
     还有一个需要提及的寄存器就是EIP。这个寄存器总是指向马上要执行的指令。当CPU执行一个程序的成千上万的代码的时候，EIP会实时的指向当前CPU马上要执行到的位置。
          一个调试器必须能够很方便的获取和修改这些寄存器的内容。每一个操作系统都提供了一个接口让调试器和CPU交互，以便能够获取和修改这些值。

2.2 栈

 在开发调试器的时候，栈是一个非常重要的结构。栈存储了与函数调用相关的各种信息，包括函数的参数和函数执行完成后返回的方法。ESP负责跟踪栈顶，EBP负责跟踪栈底。栈从内存的高地址像低地址增长。
调试器对堆栈结构的捕捉能力是相当有用的，特别是在我们捕捉程序崩溃，跟踪调查基于栈的缓冲区溢出的时候。

2.3 调试事件

　　调试器在调试程序的时候会一直循环等待，直到检测到一个调试事件的发生。当调试事件发生的时候，就会调用一个与之对应的事件处理函数。处理函数被调用的时候，调试器会暂停程序等待下一步的指示。

　　以下的这些事件是一个调试器必须能够捕捉到的（也叫做陷入）:

   ·  断点触发

   ·     内存违例（也叫做访问违例或者段错误）

   ·     程序异常

            每个操作系统都使用不同的方法将这些事件传递给调试器，这些留到操作系统章节详细介绍 。部分的操作系统，能捕捉（陷入）更多的事件，比如在线程或者进程的创建以及动态链接库的加载的时候。

              一个优秀的调试器必须是可定制脚本的，能够自定义事件处理函数从而对程序进行自动化调试。举个例子，一个内存访问违例产生的缓冲区溢出，对于黑客来说相当的有趣。如果在平时正常的调试中你就必须和调试器交互，一步一步的收集信息。但是当你使用定制好的脚本操作调试器的时候，它就能够建立起相对应的事件处理函数，并自动化的收集所有相关的信息。这不仅仅节省了时间，还让我们更全面的控制整个调试过程。

2.4断点

　　当我们需要让被调试程序暂停的时候就需要用到断点。通过暂停进程，我们能观察变量，堆栈参数以及内存数据，并且记录他们。断点有非常多的好处，当你调试进程的时候这些功能会让你觉得很舒爽。断点主要分成三种：软件断点，硬件断点，内存断点。他们有非常相似的工作方式，但实现的手段却各不相同。