PC(C/S架构)客户端测试笔记

ilasm 和 ildasm 都是微软官方提供的.Net编译与反编译工具，可谓是.Net逆向中的瑞士军刀。这两个工具的位置分别位于.Net Framework目录和Microsoft SDK目录中：
1
2
3
> C:\Windows\Microsoft.NET\Framework\v2.0.50727\ilasm.exe
> C:\Program Files\Microsoft SDKs\Windows\v7.0A\bin\ildasm.exe
>

ILSpy：https://github.com/icsharpcode/ILSpy/releases
dnSpy：https://github.com/0xd4d/dnSpy/releases

基于ILSpy发展而来，它能在完全没有源码的情况下即时调试程序，甚至还能修改程序！

2.1.2 Java

同安卓平台，所以安卓反编译的工具在此也应该是都可以用的

jadx：https://down.52pojie.cn/Tools/Android_Tools/jadx-1.1.0.zip
jad：https://varaneckas.com/jad/
JD-GUI：https://down.52pojie.cn/Tools/Android_Tools/jd-gui-1.5.5.jar
在线反编译：javare.cn，www.javadecompilers.com

通过第一阶段的信息收集，我们可能会获得一些敏感信息，比如：

安装目录是否存在db、conf、config等敏感文件；
IP、域名、API、数据库等敏感信息；
硬编码配置信息，比如Appkey、AppSecure、加密密钥等；
源代码，在通过github、码云等去搜相关的代码特征；
获取加解密逻辑；
后门；

3. 运行监控

运行监控包括软件安装、运行时Windows上文件、注册表、进程、流量的动态情况及分析。监控整个客户端的运行情况，我们就可以知道程序在我们的计算机上做了些什么、整个业务逻辑流程是什么样的。

3.1 文件

开发调试日志、错误日志、临时文件、配置文件、运行时文件等，比如登录后是否本地铭文保存账号密码，开发调试日志是否有服务器敏感信息，本地数据是否明文储存等

Process Monitor：强大的监视和过滤功能的高级 Windows 监视工具，可实时显示文件系统、注册表、进程/线程的活动，可以添加过滤规则。

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

3.2 注册表

RegfromApp：可以选择一个进程之后跟踪其对注册表的修改

https://www.nirsoft.net/utils/reg_file_from_application.html
Process Monitor：强大的监视和过滤功能的高级 Windows 监视工具，可实时显示文件系统、注册表、进程/线程的活动，可以添加过滤规则。

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Regshot：注册表备份和比对工具，可以通过保存快照和比对快照的方式来找出注册表中哪些值发生了变化，利用regshot比较客户端运行（如登录）前后注册表差别。

https://sourceforge.net/projects/regshot/
Autoruns：一款启动项、注册表、进程等多功能的安全检测工具

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

3.3 进程

ProcessHacker：查看客户端内存中的敏感数据，比如账号密码、key、数据库信息等。

https://github.com/processhacker/processhacker/releases
ProcessExplorer：利用ProcessExplorer就可以知道哪个程序打开了某个文件或者目录么？PorcessExplorer将会显示出进程打开或者加载了哪些的句柄（handles）或者动态链接库（Dlls）。

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
火绒剑：集进程、启动项、注册表、文件等多种功能为一体的监控工具

https://cowtransfer.com/s/3c60db3f057a4b