首页 > 其他分享 >反沙箱和反调试总结

反沙箱和反调试总结

时间:2024-01-14 21:22:58浏览次数:45  
标签:总结 return int 检测 sock 沙箱 NULL 调试

反沙箱与反调试

反沙箱

我们要反沙箱,就要思考沙箱和真实物理机的区别,比如说内存大小、用户名、cpu核心数等等,下面会逐个进行介绍。

1.sleep

沙箱在执行样本的时候肯定是有时间限制的,所以我们可以先让我们的程序睡眠一段时间再执行,这样在沙箱的环境下,我们的程序还在sleep呢,沙箱就检测完了,肯定不会检测到任何异常。
但是当我们简单的只使用sleep函数时,沙箱可能会对我们的sleep函数进行一个hook,因此我们需要替代类似的api来实现我们的sleep功能,下面列举了一些常见的api。

Functions used::

  • Sleep, SleepEx, NtDelayExecution
  • WaitForSingleObject, WaitForSingleObjectEx, NtWaitForSingleObject
  • WaitForMultipleObjects, WaitForMultipleObjectsEx, NtWaitForMultipleObjects
  • SetTimer, SetWaitableTimer, CreateTimerQueueTimer
  • timeSetEvent (multimedia timers)
  • IcmpSendEcho
  • select (Windows sockets)

下面是一些简单的demo(注意,有的demo并不能直接跑起来,需要自己再进行修改):

WaitForSingleObject

首先,CreateEvent 函数用于创建一个事件对象,第三个参数为初始状态,TRUE 表示初始为信号状态,FALSE 表示初始为非信号状态。接着,WaitForSingleObject 函数被调用来等待事件对象,第二个参数为等待时间,以毫秒为单位。在这里,传入 10000 表示等待 10 秒钟。如果事件对象在等待时间内被设置为信号状态,函数会立即返回,如果等待时间到期时事件对象仍为非信号状态,函数会超时返回。

HANDLE hEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
WaitForSingleObject(hEvent, 10000);
CloseHandle(hEvent);

select

select的作用就是确定套接口的状态,对于每一个socket,调用者可以查询它的可读性、可写性及错误状态信息。我们只需要建立一个socket连接,然后调用这个api去查询socket状态就可以了,这个调用消耗的时间就是select第五个参数timeval里设置的时间。

我们让我们的程序检测连接到指定 IP 地址和端口的网络可达性,并且设置了超时时间,当然他们是不可达的,所以当我们运行程序时他会select我们的socket一直等待直到超时时间,从而达到sleep的功能。

int iResult;
DWORD timeout = delay; // delay in milliseconds
bool OK = true;

SOCKADDR_IN sa = { 0 };
SOCKET sock = INVALID_SOCKET;

// this code snippet should take around Timeout milliseconds
do {
    memset(&sa, 0, sizeof(sa));
    sa.sin_family = AF_INET;
    inet_pton(AF_INET, "8.8.8.8", &(sa.sin_addr));    // we should have a route to this IP address
    sa.sin_port = htons(80); // we should not be able to connect to this port

    sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
    if (sock == INVALID_SOCKET) {
        OK = false;
        break;
    }

    // setting socket timeout
    unsigned long iMode = 1;
    iResult = ioctlsocket(sock, FIONBIO, &iMode);

    iResult = connect(sock, (SOCKADDR*)&sa, sizeof(sa));
    if (iResult == SOCKET_ERROR) {
        int error = WSAGetLastError();
        if (error != WSAEWOULDBLOCK && error != WSAEINPROGRESS) {
            OK = false;
            break;
        }
    }

    iMode = 0;
    iResult = ioctlsocket(sock, FIONBIO, &iMode);
    if (iResult != NO_ERROR) {
        OK = false;
        break;
    }

    // fd set data
    fd_set Write, Err;
    FD_ZERO(&Write);
    FD_ZERO(&Err);
    FD_SET(sock, &Write);
    FD_SET(sock, &Err);
    timeval tv = { 0 };
    tv.tv_usec = timeout * 1000;

    // check if the socket is ready, this call should take Timeout milliseconds
    iResult = select(0, NULL, &Write, &Err, &tv);
    if (iResult == SOCKET_ERROR) {
        OK = false;
        break;
    }

    if (FD_ISSET(sock, &Err)) {
        OK = false;
        break;
    }

} while (false);

if (sock != INVALID_SOCKET)
    closesocket(sock);

NtDelayExecution

NtDelayExecution 是Windows系统内部的一个函数,它用于在当前线程上引入一个指定的延迟时间。这个函数是在Windows NT内核中实现的,而不是用户空间的API。它被用于内核级别的编程,通常在设备驱动程序或其他需要精确控制时间的内核模块中使用。

注意我们设置的时间是负数,这是因为在Windows内部,正数表示绝对时间(从1970年1月1日开始的100纳秒间隔),而负数表示相对时间(从现在开始的100纳秒间隔)

#include <iostream>
#include <windows.h>

typedef NTSTATUS(NTAPI* pfnNtDelayExecution)(BOOL Alertable, PLARGE_INTEGER DelayInterval);

int main() {
    // 加载 ntdll.dll
    HMODULE hModule = LoadLibrary(L"ntdll.dll");
    if (hModule == NULL) {
        std::cout << "Failed to load ntdll.dll" << std::endl;
        return 1;
    }
    // 获取 NtDelayExecution 函数地址
    pfnNtDelayExecution fnNtDelayExecution = (pfnNtDelayExecution)GetProcAddress(hModule, "NtDelayExecution");
    if (fnNtDelayExecution == NULL) {
        std::cout << "Failed to get address of NtDelayExecution" << std::endl;
        FreeLibrary(hModule);
        return 1;
    }

    // 构造延迟时间
    LARGE_INTEGER delayTime;
    delayTime.QuadPart = -5000000;  // 单位为 100纳秒

    // 调用 NtDelayExecution 函数
    NTSTATUS status = fnNtDelayExecution(FALSE, &delayTime);
    if (status != 0) {
        std::cout << "NtDelayExecution failed with status: " << status << std::endl;
        FreeLibrary(hModule);
        return 1;
    }

    std::cout << "Delay completed." << std::endl;

    // 释放 ntdll.dll
    FreeLibrary(hModule);

    return 0;
}

2.对抗沙箱加速

沙箱为了防止恶意代码长时间sleep而不进行恶意行为,大部分沙箱都会选择进行时间加速。但是问题就出现在这里,如果进行了时间加速,那Sleep函数中的时间流速是必然不同于正常值的,如果我们可以选择一个不会被修改的时间作为基准,就很容易识别出其中的差异。

ntp时间

NTP (Network Time Protocol,网络时间协议) 是一种用于同步计算机系统时钟的协议,它可以提供高精度的时间同步服务。NTP 时间是指从 NTP 服务器获取的网络时间,它可以通过互联网进行同步。
NTP 时间是一个以秒为单位的双精度浮点数,表示自从 1900 年 1 月 1 日 0 时 0 分 0 秒起至当前时刻所经过的秒数,其中整数部分表示经过的天数,小数部分表示当前天内已经过去的秒数。NTP 时间的精度可以达到纳秒级别,可以满足各种应用的时间同步需求。

下面是一个getNTPTime函数的demo,我们可以在sleep功能前执行一下获取当前时间,sleep后再执行一下获取时间,然后比较两次时间差进行判断我们的sleep是否被沙箱加速了。

#define NTP_TIMESTAMP_DELTA 2208988800ull

struct NTPPacket
{
    union
    {
        struct _ControlWord
        {
            unsigned int uLI : 2;       // 00 = no leap, clock ok   
            unsigned int uVersion : 3;  // version 3 or version 4
            unsigned int uMode : 3;     // 3 for client, 4 for server, etc.
            unsigned int uStratum : 8;  // 0 is unspecified, 1 for primary reference system,
            // 2 for next level, etc.
            int nPoll : 8;              // seconds as the nearest power of 2
            int nPrecision : 8;         // seconds to the nearest power of 2
        };

        int nControlWord;             // 4
    };

    int nRootDelay;                   // 4
    int nRootDispersion;              // 4
    int nReferenceIdentifier;         // 4

    __int64 n64ReferenceTimestamp;    // 8
    __int64 n64OriginateTimestamp;    // 8
    __int64 n64ReceiveTimestamp;      // 8

    int nTransmitTimestampSeconds;    // 4
    int nTransmitTimestampFractions;  // 4
};

int getNTPTime(time_t& ttime)
{
    ttime = 0;
    WSADATA wsaData;
    // Initialize Winsock
    int iResult = WSAStartup(MAKEWORD(2, 2), &wsaData);
    if (iResult != 0) return 0;
    int result, count;
    int sockfd = 0, rc;
    sockfd = socket(AF_INET, SOCK_DGRAM, IPPROTO_UDP);
    if (sockfd < 0) return 0;
    fd_set pending_data;
    timeval block_time;
    NTPPacket ntpSend = { 0 };
    ntpSend.nControlWord = 0x1B;
    NTPPacket ntpRecv;
    SOCKADDR_IN addr_server;
    addr_server.sin_family = AF_INET;
    addr_server.sin_port = htons(123);//NTP服务默认为123端口号
    addr_server.sin_addr.S_un.S_addr = inet_addr("120.25.115.20"); //该地址为阿里云NTP服务器的公网地址,其他NTP服务器地址可自行百度搜索。
    SOCKADDR_IN sock;
    int len = sizeof(sock);

    if ((result = sendto(sockfd, (const char*)&ntpSend, sizeof(NTPPacket), 0, (SOCKADDR*)&addr_server, sizeof(SOCKADDR))) < 0)
    {
        int err = WSAGetLastError();
        return 0;
    }
    FD_ZERO(&pending_data);
    FD_SET(sockfd, &pending_data);
    //timeout 10 sec
    block_time.tv_sec = 10;
    block_time.tv_usec = 0;
    if (select(sockfd + 1, &pending_data, NULL, NULL, &block_time) > 0)
    {
        //获取的时间为1900年1月1日到现在的秒数
        if ((count = recvfrom(sockfd, (char*)&ntpRecv, sizeof(NTPPacket), 0, (SOCKADDR*)&sock, &len)) > 0)
            ttime = ntohl(ntpRecv.nTransmitTimestampSeconds - NTP_TIMESTAMP_DELTA);
    }
    closesocket(sockfd);
    WSACleanup();
    return 1;
}

GetTickCount64

GetTickCount64 函数获取系统自启动以来处于工作状态的时间,我们可以通过sleep前后的分别GetTickCount64(),然后看时间差是否符合我们的预期如果符合的话就不是沙箱,不符合的话就可能被沙箱加速了。(代码这里就不展示了,下面会有一个自实现的GetTickCount64)

线程同步事件

这里也用到了上面的WaitForSingleObject,这里的思路是我们先初始化一个时间,初始为非信号状态,然后创建一个线程,线程里面干两件事:先sleep10秒,然后再将事件置为有信号状态。主线程使用 WaitForSingleObject 在规定时间内等待这个事件,如果在规定时间内出现超时,则不是沙箱,否则是沙箱。

void ThreadFunc(PHANDLE pevent) {
    Sleep(10000);
    SetEvent(*pevent);
}

int main() {
    BOOL is_sandbox = FALSE;
    HANDLE eventHandle = CreateEvent(NULL, TRUE, FALSE, NULL); // 手动重置事件,初始状态为非信号状态
    if (eventHandle == NULL) {
        std::cerr << "CreateEvent failed with " << GetLastError() << std::endl;
    }
    // 设置超时为8000毫秒(8秒)
    DWORD timeout = 9000; // 9秒的等待时间
    // 等待事件或超时
    HANDLE hThread = CreateThread(
        NULL,
        0,
        (LPTHREAD_START_ROUTINE)ThreadFunc,
        &eventHandle,
        0,
        NULL
    );
    DWORD waitResult = WaitForSingleObject(eventHandle, timeout);
    if (waitResult != WAIT_TIMEOUT) {
        is_sandbox = TRUE;
    }
    return 0;

}

使用计时器

我们这里的思路和线程同步事件差不多,先创建一个定时器,其超时时间为9000毫秒。然后创建一个线程,线程函数为threadFunction,并将定时器ID的指针作为参数传递给线程函数。然后循环获取消息队列中的消息,当收到定时器消息时,通过GetExitCodeThread函数判断线程是否结束,若线程结束则将is_sandbox设置为TRUE,即可以判断是沙箱加速了,否则设置为FALSE,然后终止定时器并跳出循环。

void threadFunction(UINT_PTR *iTimerID) {
    Sleep(10000);
}

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{   
    MSG Msg;
    UINT_PTR iTimerID;

    // Set our timer without window handle
    iTimerID = SetTimer(NULL, 0x1, 9000, NULL);
  
    HANDLE hThread = CreateThread(
        NULL,
        0,
        (LPTHREAD_START_ROUTINE)threadFunction,
        &iTimerID,
        0,
        NULL
    );
    BOOL is_sandbox = FALSE;
    // Because we are running in a console app, we should get the messages from
    // the queue and check if msg is WM_TIMER
    while (GetMessage(&Msg, NULL, 0, 0))
    {
        if (Msg.message == WM_TIMER && Msg.wParam == iTimerID) {
            // 看线程是否结束

            //收到超时消息
            DWORD exitCode = 0;
            if (GetExitCodeThread(hThread, &exitCode)) {
                if (exitCode == STILL_ACTIVE) {
                    is_sandbox = FALSE;
                }
                else {
                    is_sandbox = TRUE;
                }
            }
            KillTimer(NULL, iTimerID);
            break;
        }
        TranslateMessage(&Msg);
        DispatchMessage(&Msg);
    }
    return 0;
}

3.自实现sleep

上面的思路归根结底还都是用了系统,如果沙箱hook的api够多的话,还是很难办的,所以我们可以尝试自实现一些可以sleep的函数来防止被hook。

MyGetTickCount64

GetTickCount64这个函数大概率已经被沙箱hook,那我们要怎么获取到相同的效果呢?

我们这里可以先逆向分析一下 GetTickCount64 的函数实现:

然后我们根据逆向的结果进行自实现。(在vs中配置汇编环境参考博客:vs2022 x64 C/C++和汇编混编_vs 嵌入汇编-CSDN博客)

image-20240114102655895

image-20240114102630537

可以看到自实现的效果和GetTickCount64的效果一样,因此可以使用自实现的GetTickCount64来进行反沙箱。

质数运算

我们可以在代码中实现一个质数运算的功能,让程序来计算从而达到延时效果。

bool isPrime(int number) {
    if (number <= 1)
        return false;

    for (int i = 2; i * i <= number; ++i) {
        if (number % i == 0)
            return false;
    }

    return true;
}

4.检测环境

下面列举的都是检测环境的东西,比较简单,重点是思路。

检测用户名

因为沙箱都有固定的用户名,我们可以将沙箱的用户名都收集起来,然后进行匹配判断,代码如下:

int gensandbox_username() {
	char username[200];
	size_t i;
	DWORD usersize = sizeof(username);
	GetUserNameA(username, &usersize);

	for (i = 0; i < strlen(username); i++) { 
		username[i] = toupper(username[i]);//注意使用toupper来进行大写匹配
	}
	if (strstr(username, "JOHN-PC") != NULL) {
		return TRUE;
	}
	return FALSE;
}

检测内存

使用GlobalMemoryStatusEx来获取内存大小,从而进行判断。

bool checkMemory() {   
    MEMORYSTATUSEX memoryStatus;
    memoryStatus.dwLength = sizeof(memoryStatus);
    GlobalMemoryStatusEx(&memoryStatus);
    DWORD RAMMB = memoryStatus.ullTotalPhys / 1024 / 1024;
    if (RAMMB < 4096) 
        return false;
}

检测cpu核心数

一般来说,沙箱的核心数肯定会被限制的,许多在线检测的虚拟机沙盘是2核心,我们可以通过核心数来判断是否为真实机器或检测用的虚拟沙箱。GetSystemInfo()将系统信息写入类型为SYSTEM_INFO的结构体,其中成员dwNumberOfProcessors就是CPU核心数。

bool checkCPU() {
    SYSTEM_INFO systemInfo;
    GetSystemInfo(&systemInfo);
    DWORD numberOfProcessors = systemInfo.dwNumberOfProcessors;
    if (numberOfProcessors < 4) return false;
}

检测开机时间

许多沙箱检测完毕后会重置系统,我们可以检测开机时间来判断是否为真实的运行状况。GetTickCount这个api用于获取自系统启动以来经过的毫秒数。

bool checkuptime() {
    DWORD uptime = GetTickCount();
    printf("uptime:%u\n", uptime);
    if (uptime < 3600000)
        return false;
    else
        return true;
}

检测文件名

在上传文件后有些沙箱会重命名我们的文件,我们就可以以此来检测是否是沙箱环境。

	if (strstr(argv[0], "aaa.exe") > 0)
	{
		printf("111");//做一些无害的操作即可
	}

检测语言

正常情况下,我们接触到的都是国内项目,系统都是中文的,但是许多沙箱都是默认配置搭建起来的,所以使用英文系统。获取当前系统首选语言也是一种有效的检测方法。

    LANGID langId = GetUserDefaultUILanguage();
    std::cout << "操作系统语言: " << PRIMARYLANGID(langId) << "-" << SUBLANGID(langId) << std::endl;

检测虚拟机

关于检测环境我没有说反虚拟机相关的东西,是因为有些单位就是跑在超融合虚拟化下的,本身就是虚拟机,这种情况下反虚拟机毫无意义。

5.一些其他的骚操作

  • 在吐司看到的大佬评论,检测电脑中后缀为.docx文件的数量
  • 忘了在哪看的文章,禁止非微软签名访问进程(用到的结构体PROCESS_MITIGATION_BINARY_SIGNATURE_POLICY )
  • 自己搞一个反连平台
  • 定义一个域名(真实环境的),如果在目标域环境中,自然就匹配通过。

反调试

反调试的话说实话很难做到完全让分析人员分析不了,所以我在这里只是列一些常见的操作。

1.IsDebuggerPresent

IsDebuggerPresent 是一个 Windows API 函数,用于检测当前进程是否处于被调试的状态。如果当前进程正在被调试,该函数将返回非零值(TRUE),否则返回零值(FALSE)。

if (IsDebuggerPresent())
    ExitProcess(-1);

2.CheckRemoteDebuggerPresent

CheckRemoteDebuggerPresent用于检测指定进程是否正在被远程调试器监视。其函数原型如下:

c++Copy CodeBOOL WINAPI CheckRemoteDebuggerPresent(
  HANDLE hProcess,
  PBOOL  pbDebuggerPresent
);
  • hProcess:要检测的目标进程的句柄。。通常使用 GetCurrentProcess() 函数获取当前进程的句柄。
  • pbDebuggerPresent:一个指向 BOOL 值的指针,用于接收检测结果。如果目标进程正在被远程调试器监视,则该值将被设置为非零值(TRUE),否则为零值(FALSE)。
HANDLE hProcess =  GetCurrentProcess() ;
BOOL debuggerPresent = FALSE;
if (hProcess != NULL) {
    if (CheckRemoteDebuggerPresent(hProcess, &debuggerPresent) && debuggerPresent) {
        std::cout << "指定进程正在被远程调试器监视" << std::endl;
    } else {
        std::cout << "指定进程未被远程调试器监视" << std::endl;
    }
    CloseHandle(hProcess);
} else {
    std::cout << "无法打开指定进程" << std::endl;
}

3.检测进程

如果当前计算机进程存在ida.exe,x64dbg.exe等等,则直接退出或者执行一系列的无害操作。

#include <windows.h>
#include <tlhelp32.h>
#include <stdio.h>

int main() {
    HANDLE hProcessSnap;
    PROCESSENTRY32 pe32;

    hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE) {
        printf("错误:无法创建进程快照\n");
        return 1;
    }

    pe32.dwSize = sizeof(PROCESSENTRY32);

    if (!Process32First(hProcessSnap, &pe32)) {
        printf("错误:无法获取第一个进程\n");
        CloseHandle(hProcessSnap);
        return 1;
    }

    do {
        if (strcmp(pe32.szExeFile, "ida.exe") == 0) {
            printf("ida.exe 运行中,进程ID为 %d\n", pe32.th32ProcessID);
        }
    } while (Process32Next(hProcessSnap, &pe32));

    CloseHandle(hProcessSnap);
    return 0;
}

4.PEB

PEB(Process Environment Block)是Windows操作系统中的一个数据结构,它存储了进程相关的信息。每个在Windows上运行的进程都有一个唯一的PEB。关于peb的东西这里就不多说了,现在知道他是重要的结构就可以了。

PEB!BeingDebugged Flag

此方法只是检查 PEB 的 BeingDebugged 标志而不调用 IsDebuggerPresent() 的另一种方法。

#ifndef _WIN64
PPEB pPeb = (PPEB)__readfsdword(0x30);
#else
PPEB pPeb = (PPEB)__readgsqword(0x60);
#endif // _WIN64
 
if (pPeb->BeingDebugged)
    goto being_debugged;

NtGlobalFlag

NtGlobalFlag 是PEB的一个字段,通常,当进程未被调试时,NtGlobalFlag字段包含值0x0。调试进程时,该字段通常包含值0x70。

#define FLG_HEAP_ENABLE_TAIL_CHECK   0x10
#define FLG_HEAP_ENABLE_FREE_CHECK   0x20
#define FLG_HEAP_VALIDATE_PARAMETERS 0x40
#define NT_GLOBAL_FLAG_DEBUGGED (FLG_HEAP_ENABLE_TAIL_CHECK | FLG_HEAP_ENABLE_FREE_CHECK | FLG_HEAP_VALIDATE_PARAMETERS)

#ifndef _WIN64
PPEB pPeb = (PPEB)__readfsdword(0x30);
DWORD dwNtGlobalFlag = *(PDWORD)((PBYTE)pPeb + 0x68);
#else
PPEB pPeb = (PPEB)__readgsqword(0x60);
DWORD dwNtGlobalFlag = *(PDWORD)((PBYTE)pPeb + 0xBC);
#endif // _WIN64
 
if (dwNtGlobalFlag & NT_GLOBAL_FLAG_DEBUGGED)
    goto being_debugged;

参考:

标签:总结,return,int,检测,sock,沙箱,NULL,调试
From: https://www.cnblogs.com/fdxsec/p/17963985

相关文章

  • 洛谷比赛【LGR-171-Div.3】深圳科创学院基础赛 #7 &「RHOI」Round 2 赛后总结
    洛谷比赛【LGR-171-Div.3】深圳科创学院基础赛#7&「RHOI」Round2赛后总结比赛链接:https://www.luogu.com.cn/contest/146495建议先看原题再看文章。A-Water(P10056)有\(n\)个杯子,每个杯子的容积是\(a\),且初始装有\(b\)体积水。你可以进行任意次操作,每次操作选择任......
  • 芯片调试总结
    在调试的过程中,尽量选择最低的编译器优化选项,这样就可以比较直观的观察到整个程序的运行状态ICE(onchipInCircuitsEmulation):将在线仿真器的相关硬件逻辑直接集成在处理器芯片内部,在线仿真器监测CPU的所有输入输出信号,从而实现调试器的断点和跟踪trace功能断点调试和跟踪......
  • 栈迁移的简单学习总结
    一:栈迁移是什么二:有什么作用:作用一:顾名思义就是迁移栈,这样可以扩大我们溢出的空间,因为有时候溢出的空间只可以修改ebp或者ret作用二:任意地址写,具体的可以看这位师傅:pwn技术分享-栈迁移1_哔哩哔哩_bilibili三:原理是什么原理网上有许多写的非常好的,这里我推荐:https://z......
  • GDB调试之观察点的使用(九)
    一、什么是观察点?观察点是一个特殊的断点,当表达式的值发生变化时,它将中断下来。表达式可以是一个变量的值,也可以包含由运算符组合的一个或多个变量的值,例如'a+b'。有时被称为数据断点(VC里面就称之为数据断点)。二、观察点常用命令watch:写观察点rwatch:读观察点awtach:读写断......
  • CF-1920-div2 总结
    1.结果赛时做出:AB(D)赛后做出:CD评分变化:1535->1500rank:45212.赛后总结>1个人评价这次比赛是我寒假的第一次,昨天坐了一天的动车,虽然平稳,但还是有晕车,导致晚上状态不好,个人因素还是有的。最主要的因素还是后一个小时太晕了,D题有个小问题没发现。除此之外,近期开始服用的药物让......
  • GDB调试之函数调用栈管理(八)
    栈帧:当程序进行函数调用的时候,比如说在哪里调用,这些信息我们称之为栈帧。每一个栈帧的内容包括调用的参数,局部变量,寄存器等这些信息,这就是一个栈帧。调用栈:所有栈帧组成的信息称之为调用栈,或者我们也可以称之为调用堆栈。栈的特性是后进先出,函数调用也是这样,如果函数1里面调用了......
  • 期末总结
    \(Part~1\)知识点总结暑期总结(更早以前的知识点总结(\(23.06-23.08\)))暑假第一周笔记暑假第二周笔记暑假第三周笔记学期总结图论总结——最短路区间\(DP\)背包\(DP\)\(Part~2\)考试总结暑期考试总结(\(23.06-23.08\))暑期考试总结(\(23.06-23.08\))学期考试总结\(1......
  • 2023.9 ~ 2024.1 总结
    前言本文没有知识总结,只记录一些本学期思维上提升的和对自己学习状态的总结(当然知识总结也是有的,但是我太菜了,还不全面)1.个人习惯反思可跳过,主要写给自己一个学期过去了,成长还是有的,但是还是两个老毛病:浮躁,静不下心心态不稳听课情景1:听课时想要记笔记,然后就跟......
  • 图论总结——最短路
    https://csacademy.com/app/graph_editor/https://riverhamster.gitee.io/app/graph_editor/注:时间复杂度分析中,假设\(n\lem\len^2\)。最短路本质上是一种DP。阶段:点状态:拆点决策:边最优子结构:最短路的任何子路径都一定是最短路。无后效性:正权图中一定可以找到一......
  • 冯梓轩集训总结3
    冯梓轩集训总结3——最短路模版算法Dijkstra可以说是最常用的最短路算法了。主要思想是找到当前更新过的距离源点最近的点,然后用它的最短路去更新与它相连的点的最短路。对于距离源点最近,可以开一个小根堆维护,这样的时间复杂度为\(O(m\logm)\)。但是算法有一个弊端:所有边的......