1、开发环境

我们在Windows 10上开始python逆向之旅，首先开始搭建开发环境，python解释器使用最新的3.6.1，IDE使用PyCharm社区版2017.1.3，下载地址如下所示，下载完成后直接双击安装包安装即可，随后设置PyCharm的Project Interpreter为刚才安装的Python解释器就可以了。

【Python】https://www.python.org/downloads/
【PyCharm】http://www.jetbrains.com/pycharm/download/#section=windows

2、ctypes

首先介绍一下ctypes，它是一个用于Python的外部函数库，提供了与C语言兼容的数据类型，允许调用动态链接库或共享库中的函数，还可以包装这些库。下面是ctypes中的数据类型与C语言、Python中的数据类型的对应关系。

ctypes中的数据类型全部通过class来实现，在Python中加载C库涉及如下几个类。

1. class ctypes.CDLL 加载共享库，使用标准C函数调用惯例即cdecl，返回类型为int。
2. class ctypes.OleDLL 加载共享库，只用于Windows平台，使用stdcall函数调用惯例，返回类型为HRESULT。
3. class ctypes.WinDLL 加载共享库，只用于Windows平台，使用stdcall函数调用惯例，返回类型为int。
4. class ctypes.PyDLL 类似于CDLL，与前面三个不同的是，在函数调用期间不会释放GIL，Global Interpreter Lock。
5. class ctypes.LibraryLoader(dlltype) dlltype为CDLL、OleDLL、WinDLL、PyDLL，这个类有一个加载共享库的函数LoadLibrary。

加载C库更简单的方法是使用如下几个预先创建的类实例。

ctypes.cdll
ctypes.oledll
ctypes.windll
ctypes.pydll
ctypes.pythonapi

上面提到了函数调用惯例cdecl和stdcall，cdecl的意思是函数的参数从右往左依次压入栈内，函数的调用者在函数执行完成之后负责函数的平衡，常用于X86架构的C语言里，返回值存储在EAX寄存器中，从汇编代码的角度来看，函数参数从右往左依次压栈，然后调用函数，最后修改栈指针ESP为原来的位置。stdcall，参数传递的顺序也是从右到左，不过栈的平衡处理由函数自己完成，而不是调用者，返回值同样存储在EAX中，也就是说，函数参数压栈、函数调用之后没有像cdecl一样的栈指针ESP移动。

下面的例子在Python中调用C的printf函数，printf属于“C:\Windows\System32\msvcrt.dll”，也就是Linux上的“libc.so”。

from ctypes import *

msvcrt = cdll.msvcrt
message = b"Hello World\n"
msvcrt.printf(b"Message is %s", message)

上面的代码输出“Message is Hello World”。另外，ctypes还允许在Python中定义结构和联合等其它高级功能，详细介绍请参考https://docs.python.org/3.6/library/ctypes.html"htmlcode">

地址: 操作码 汇编指令
0x44332211: 8BC3 MOV EAX, EBX
0x44332211: CCC3 MOV EAX, EBX

硬件断点：在小块区域内设置断点，属于CPU级别，使用了DR0到DR7共八个特殊的调试寄存器，这些寄存器专门用于管理硬件断点。DR0到DR3存储硬件断点地址，意味着同一时间内最多只能有4个硬件断点，DR4和DR5保留，DR6是状态寄存器，说明被断点触发的调试事件的类型，DR7是开关寄存器，同时也存储了断点的不同类型，包括指令执行时中断、数据可以写入时中断、有数据读或者写但不执行时中断。硬件断点使用1号中断指令INT1，负责硬件中断和步进事件。硬件断点的特点是同一时间只能设置四个断点，而且断点起作用的区域只有四个字节，如果想要跟踪一大块内存数据，请使用下面介绍的内存断点。

内存断点：用于大块区域，不是真正的断点，而是改变了内存中某个块或者页的权限。一个内存页是操作系统处理的最小的内存单位，一个内存页被申请成功后，就拥有了一个权限集，如可执行页、可读页、可写页，这些决定了内存该如何被访问，任何对保护页的访问都会引发异常，之后页面恢复访问前的状态。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。