LyShark®

在笔者前几篇文章中，我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能，但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底，还需要写出更多的指令集，这对于普通人来说是非常困难的，当然除了通过汇编来实现`ShellCode`的编写以外，使用C同样可以实现编写，在多数情况下读者可以直接使用C开发，只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。

通常情况下栈溢出可能造成的后果有两种，一类是本地提权另一类则是远程执行任意命令，通常C/C++并没有提供智能化检查用户输入是否合法的功能，同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出，这就给恶意代码的溢出提供了的条件，利用溢出攻击者可以控制程序的执行流，从而控制程序的执行过程并实施恶意行为，本章内容笔者通过自行编写了一个基于网络的FTP服务器，并特意布置了特定的漏洞，通过本章的学习，读者能够掌握漏洞挖掘的具体流程，及利用方式，让读者能够亲自体会漏洞挖掘与利用的神奇魔法。

在黑客安全圈子中，基于内存攻击技术的攻击手段在随着时代的变化而不断发展着，内存攻击是指通过利用软件的安全漏洞，构造恶意的输入，从而使正常程序造成拒绝服务或者是远程获得控制权，内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞，时至今日能够被广泛利用的并具有较大破坏性的高危漏洞（CVE）几乎都属于缓冲区溢出。首先读者应该明白`缓冲区`溢出（Buffer Overflow），它分为`栈溢出`与`堆溢出`，此类`漏洞`的原理是，程序由于缺乏对缓冲区的`边界`进行合理化的`检测`而引起的一种异常行为，通常是程序存在`过滤不严格`的输入点，通过这些输入点攻击者可以向程序中写入超过了程序员预先定义好的缓冲边界，从而覆盖了相邻的内存区域，造成程序中的`变量覆盖`，甚至控制CPU中的`EIP寄存器`指针，从而造成程序的非预期行为，而像`C/C++`程序中本身就缺乏内在的内存安全分配与管理，因此缓冲区溢出漏洞大部分都出现在编译型语言中。

LyScript 插件提供的反汇编系列函数虽然能够实现基本的反汇编功能，但在实际使用中，可能会遇到一些更为复杂的需求，此时就需要根据自身需要进行二次开发，以实现更加高级的功能。本章将继续深入探索反汇编功能，并将介绍如何实现反汇编代码的检索、获取上下一条代码等功能。这些功能对于分析和调试代码都非常有用，因此是书中重要的内容之一。在本章的学习过程中，读者不仅可以掌握反汇编的基础知识和技巧，还能够了解如何进行插件的开发和调试，这对于提高读者的技能和能力也非常有帮助。

Cheat Engine 一般简称为CE，它是一款功能强大的开源内存修改工具，其主要功能包括、内存扫描、十六进制编辑器、动态调试功能于一体，且该工具自身附带了脚本工具，可以用它很方便的生成自己的脚本窗体，CE工具可以帮助用户修改游戏或者软件中的内存数据，以获得一些其他的功能，CE可以说是目前最优秀的进程内存修改器，但需要注意的是，它的使用可能会涉及到非法或者违反游戏规则的行为，建议读者在使用 `Cheat Engine` 时要注意自己的行为是否符合相关法律和道德规范。

LyScript 插件中针对内存读写函数的封装功能并不多，只提供了最基本的`内存读取`和`内存写入`系列函数的封装，本章将继续对API接口进行封装，实现一些在软件逆向分析中非常实用的功能，例如ShellCode代码写出与置入，内存交换，内存区域对比，磁盘与内存镜像比较，内存特征码检索等功能，学会使用这些功能对于后续漏洞分析以及病毒分析都可以起到事半功倍的效果，读者应重点关注这些函数的使用方式。

LyScript 插件中提供了针对堆栈的操作函数，对于堆的开辟与释放通常可使用`create_alloc()`及`delete_alloc()`在之前的文章中我们已经使用了堆创建函数，本章我们将重点学习针对栈的操作函数，栈操作函数有三种，其中`push_stack`用于入栈，`pop_stack`用于出栈，而最有用的还属`peek_stack`函数，该函数可用于检查指定堆栈位置处的内存参数，利用这个特性就可以实现，对堆栈地址的检测，或对堆栈的扫描等。

所谓的应用层钩子（Application-level hooks）是一种编程技术，它允许应用程序通过在特定事件发生时执行特定代码来自定义或扩展其行为。这些事件可以是用户交互，系统事件，或者其他应用程序内部的事件。应用层钩子是在应用程序中添加自定义代码的一种灵活的方式。它们可以用于许多不同的用途，如安全审计、性能监视、访问控制和行为修改等。应用层钩子通常在应用程序的运行时被调用，可以执行一些预定义的操作或触发一些自定义代码。

LyScript 插件中默认提供了多种内存特征扫描函数，每一种扫描函数用法各不相同，在使用扫描函数时应首先搞清楚不同函数之间的差异，本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用，并实现一种内存查壳脚本，可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。软件查壳的实现原理可以分为静态分析和动态分析两种方式。静态分析是指在不运行被加壳程序的情况下，通过对程序的二进制代码进行解析，识别出程序是否被加壳，以及加壳的种类和方法。动态分析是指通过运行被加壳程序，并观察程序运行时的行为，识别程序是否被加壳，以及加壳的种类和方法。

钩子劫持技术是计算机编程中的一种技术，它们可以让开发者拦截系统函数或应用程序函数的调用，并在函数调用前或调用后执行自定义代码，钩子劫持技术通常用于病毒和恶意软件，也可以让开发者扩展或修改系统函数的功能，从而提高软件的性能和增加新功能。钩子劫持技术的实现一般需要在对端内存中通过`create_alloc()`函数准备一块空间，并通过`assemble_write_memory()`函数，将一段汇编代码转为机器码，并循环写出自定义指令集到堆中，函数`write_opcode_from_assemble()`就是我们自己实现的，该函数传入一个汇编指令列表，自动转为机器码并写出到堆内，函数的核心代码如下所示。