1、開發環境

我們在Windows 10上開始python逆向之旅，首先開始搭建開發環境，python解釋器使用最新的3.6.1，IDE使用PyCharm社區版2017.1.3，下載地址如下所示，下載完成后直接雙擊安裝包安裝即可，隨后設置PyCharm的Project Interpreter為剛才安裝的Python解釋器就可以了。

【Python】https://www.python.org/downloads/
【PyCharm】http://www.jetbrains.com/pycharm/download/#section=windows

2、ctypes

首先介紹一下ctypes，它是一個用于Python的外部函數庫，提供了與C語言兼容的數據類型，允許調用動態鏈接庫或共享庫中的函數，還可以包裝這些庫。下面是ctypes中的數據類型與C語言、Python中的數據類型的對應關系。

ctypes中的數據類型全部通過class來實現，在Python中加載C庫涉及如下幾個類。

class ctypes.CDLL 加載共享庫，使用標準C函數調用慣例即cdecl，返回類型為int。 class ctypes.OleDLL 加載共享庫，只用于Windows平臺，使用stdcall函數調用慣例，返回類型為HRESULT。 class ctypes.WinDLL 加載共享庫，只用于Windows平臺，使用stdcall函數調用慣例，返回類型為int。 class ctypes.PyDLL 類似于CDLL，與前面三個不同的是，在函數調用期間不會釋放GIL，Global Interpreter Lock。 class ctypes.LibraryLoader(dlltype) dlltype為CDLL、OleDLL、WinDLL、PyDLL，這個類有一個加載共享庫的函數LoadLibrary。

加載C庫更簡單的方法是使用如下幾個預先創建的類實例。

ctypes.cdllctypes.oledllctypes.windllctypes.pydllctypes.pythonapi

上面提到了函數調用慣例cdecl和stdcall，cdecl的意思是函數的參數從右往左依次壓入棧內，函數的調用者在函數執行完成之后負責函數的平衡，常用于X86架構的C語言里，返回值存儲在EAX寄存器中，從匯編代碼的角度來看，函數參數從右往左依次壓棧，然后調用函數，最后修改棧指針ESP為原來的位置。stdcall，參數傳遞的順序也是從右到左，不過棧的平衡處理由函數自己完成，而不是調用者，返回值同樣存儲在EAX中，也就是說，函數參數壓棧、函數調用之后沒有像cdecl一樣的棧指針ESP移動。

下面的例子在Python中調用C的printf函數，printf屬于“C:/Windows/System32/msvcrt.dll”，也就是Linux上的“libc.so”。

from ctypes import *msvcrt = cdll.msvcrtmessage = b"Hello World/n"msvcrt.printf(b"Message is %s", message)

上面的代碼輸出“Message is Hello World”。另外，ctypes還允許在Python中定義結構和聯合等其它高級功能，詳細介紹請參考https://docs.python.org/3.6/library/ctypes.html?highlight=ctypes#。

3、調試原理

使用調試器，能夠對程序進行動態跟蹤和分析，特別是涉及到exploit、fuzzer和病毒分析的時候，動態分析程序的能力就顯得非常重要了。調試程序時，如果可以獲得源代碼，調試起來就容易一些，也就是透明的白盒測試，如果沒有源代碼，也就是黑盒測試，想要得到理想的結果，那就必須擁有高超的逆向技術和逆向工具的幫助。黑盒測試包括用戶模式與內核模式兩種情況，兩者有不同的權限。