Windows逆向工程入门之MASM字符处理机制

公开视频 -> 链接点击跳转公开课程博客首页 -> ​​​链接点击跳转博客主页

目录

一、MASM字符编码体系深度解析

1. 多层编码支持架构

编码转换关键技术：

2. 字符串存储优化策略

内存优化特征：

二、逆向工程中的字符串特征识别

1. 字符串解密模式识别

典型加密算法特征：

2. 格式化字符串漏洞挖掘

漏洞利用模式：

三、系统级字符串操作分析

1. Windows API调用跟踪

关键函数Hook技术：

API调用特征：

---

一、MASM字符编码体系深度解析 1. 多层编码支持架构 ; ANSI编码示例 ansi_str BYTE "中文",0 ; UTF-8编码处理 utf8_str BYTE 0E4B8ADh, 0E69687h,0 ; ; UTF-16LE编码实现 unicode_str WORD 0x2D4E, 0x8765, 0 ; 编码转换关键技术： ​代码页动态切换： invoke SetConsoleCP, 65001 ; 设置控制台为UTF-8模式 invoke WideCharToMultiByte, 65001, 0, unicode_str, -1, 0, 0, 0, 0   2. 字符串存储优化策略 ; 池化字符串技术 STRING_POOL SEGMENT READ SHARED HelloStr BYTE "Hello World",0 FormatStr BYTE "%s %d",0 STRING_POOL ENDS 内存优化特征： 相同字符串地址复用检测（通过/GF编译选项启用）只读段(.rdata)与可写段(.data)分离存储

---

二、逆向工程中的字符串特征识别 1. 字符串解密模式识别 典型加密算法特征： ; RC4加密流程 mov ecx, str_len decrypt_loop: lodsb xor al, [key+ecx] stosb loop decrypt_loop ​识别特征： 循环结构中的XOR/ADD/ROL指令密钥调度函数中的256字节初始化 2. 格式化字符串漏洞挖掘 vuln_func proc push offset user_input call printf ; 危险调用点 add esp, 4 ret vuln_func endp 漏洞利用模式： ​内存读写测试： printf("%08x.%08x.%08x..."); // 栈数据泄露 ​GOT表覆写攻击： payload = b"%%%dc%%hn" % (target_value) # 精确地址写入

---

三、系统级字符串操作分析 1. Windows API调用跟踪 关键函数Hook技术： ; Detours库函数拦截 mov eax, Real_lstrcpyA mov Detour_lstrcpyA, eax mov Real_lstrcpyA, offset My_lstrcpyA API调用特征： 函数名称参数约定危险等级lstrcatstdcall高危StringCchCopystdcall安全wsprintfcdecl中危