记录Golang面试八股文

为什么要移动导出表

1. 导出表由编译器生成, 导出表中存储了该PE文件有哪些导出函数以及函数的地址;
2. 在程序启动时, 系统会根据导出表做初始工作; 将用到的Dll中的函数地址存储到IAT表中;
3. 为了保护程序, 可以对.EXE的二进制代码进行加密操作;
   • 如果进行加密, 各种表的信息以及数据是混在一起的, 加密后会导致程序无法正常执行;
   • 因此需要新增一个节, 并将PE中的表移动到新节中, 然后将代码和数据进行加密;

内存直接加载运行

• 病毒木马具有模拟PE加载器的功能, 它们可以把DLL或者exe等PE文件从内存中直接加载到病毒木马的内存中去执行, 不需要通过LoadLibrary等现成的API函数去操作;
• 假如程序需要动态调用DLL文件, 内存加载运行技术可以把DLL作为资源插入到自己的程序中, 此时可直接在内存中加载运行即可;
• 内存加载技术的核心就在于模拟PE加载器PE文件, 也就是对导入表、导出表、重定位表的操作过程;

IAT Hook

• IMAGE_IMPORT_DESCRIPTOR中两个IMAGE_THUNK_DATA结构体，第一个位导入名称表（INT），第二个位导入地址表（IAT）。两个结构在磁盘文件中时是没有差别的，但是当PE文件被装载到内存中后，FirstThunk字段指向的IMAGE_THUNK_DATA的值会被Windows进行填充。该值为一个RVA，该RVA加上映像基址后，虚拟地址就保存了真正的导入函数的入口地址
• IAT Hook步骤
  1. 获取欲Hook的函数地址
  2. 找到该函数的所保存的IAT地址
  3. 把IAT中该函数的地址修改为Hook函数的地址

Inline Hook(内联钩子注入)流程

1. 构造跳转指令[JMP后的偏移量 = 目标地址 - 原地址 - jcc的指令长度]
2. 在内存中找到欲HOOK函数地址，并保存欲HOOK位置处的前5个字节
3. 将构造的跳转指令写入需HOOK的位置处
4. 当被HOOK位置被执行时会转到自己的流程执行
5. 如果要执行原来的流程，取消HOOK，还原被修改的字节
6. 执行原来的流程
7. 继续HOOK住原来的位置

• 远程线程注入是指一个进程在另一个进程中创建线程的技术。是一种病毒木马所青睐的注入技术。

基础知识

• 基地址(ImageBase): 当PE文件通过Windows加载器载入内存后，内存中的版本称为模块，映射文件的起始地址称为模块句柄，可通过句柄访问内存中其他数据结构，这个内存起始地址称为基地址。
• 虚拟地址(VA): 在Windows系统中，PE文件被系统加载到内存后，每个程序都有自己的虚拟空间，这个虚拟空间的内存地址称为虚拟地址。
• 相对虚拟地址(RVA): 可执行文件中，有许多地方需要指定内存中的地址。例如，应用全局变量时需要指定它的地址。为了避免在PE文件中出现绝对内存地址引入了相对虚拟地址，它就是在内存中相对于PE文件载入地址的偏移量。
• 文件偏移地址(FOA): 当PE文件存储在磁盘中时，某个数据的位置相对于文件头的偏移量称为文件偏移地址(FOA)。文件偏移地址从PE文件中的第一个字节开始计数，起始值为0。

它们之间的关系：虚拟地址(VA) = 基地址(ImageBase) + 相对虚拟地址(RVA)

Windows PE

• 可执行文件（Executable file）指的是可以由操作系统进行加载执行的文件
• 可执行文件的格式：
  • Windows 平台
    PE（Portable Executable）文件结构
  • Linux 平台
    ELF（Executable and Linking Format）文件结构

1. 面向对象编程思维
   • 提高代码的可复用率 => 更加合理的数据关系
2. 隐式原型和显式原型
   • 对象的隐式原型和构造函数的显式原型的连接
3. 原型链机制核心
   a. new: 执行前绑定this并指向空对象, 将对象的隐式原型指向函数的显式原型
   b. [[GET]]