逆向与反汇编工具

http://blog.163.com/[email protected]/blog/static/823405412012930555115/

第 1 章           逆向与反汇编工具

了解反汇编的一些背景知识后,再深入学习IDA Pro之前,介绍其他一些用于二进制文件的逆向工程工具,会对我们学习有所帮助。这些工具大多在IDA之前发布,并且仍然可用于快速分析二进制文件,以及审查IDA的分析结果。如我们所见,IDA将这些工具的诸多功能整合到它的用户界面中,为逆向工程提供了一个集成环境。最后,尽管IDA确实包含一个集成调试器,在这里我们不会讨论,因为在第24、25和26章专门讨论这个主题。

1.1     分类工具

通常,第一次面对一个未知文件时,有必要问一些简单问题是有益的,如“这是个什么东西?”回答这个问题的首要原则,是不要依赖文件扩展名来确定文件的类型。这是最基本的原则。在脑子里建立起“文件扩展名并无实际意义”的印象后,你就会开始考虑学习下面几个实用工具。

1.1.1    file

file命令是一个标准的实用工具,大多数*NIX风格的操作系统和Windows下的Cygwin[1]或MinGW[2]工具都带有这个实用工具。file试图通过检查文件中某些特定字段来确定文件类型。在某些情况下,file能够识别常见的字符串,如#!/bin/sh(shell脚本文件)或<html>(HTML文档)。但是,识别那些包含非ASCII内容的文件要困难得多,在这种情况下,file会设法判断,该文件的结构是否符合某种已知的文件格式。多数情况下,它会搜索某些文件类型所特有的标签值(通常称为幻数[3])。下面的十六进制表列出了几个用于判断常见文件类型的幻数。

Windows PE executable file

00000000      4D 5A 90 00 03 00 00 00  04 00 00 00 FF FF 00 00   MZ..............

00000010 B8 00 00 00 00 00 00 00  40 00 00 00 00 00 00 00   [email protected]

Jpeg image file

00000000 FF D8 FF E0 00 10 4A 46  49 46 00 01 01 01 00 60   ......JFIF.....`

00000010 00 60 00 00 FF DB 00 43  00 0A 07 07 08 07 06 0A   .`.....C........

Java .class file

00000000 CA FE BA BE 00 00 00 32  00 98 0A 00 2E 00 3E 08   .......2......>.

00000010 00 3F 09 00 40 00 41 08  00 42 0A 00 43 00 44 0A   [email protected]

file具有识别大量的文件格式的能力,包括多种类型的ASCIl文本文件、可执行文件和数据文件格式。file执行的幻数检查由幻数文件(magic file)所包含的规则控制。幻数文件的默认位置因操作系统而异,常见的位置包包/usr/share/file/magic、/usr/share/misc/magic和/edt/magic。关于幻数文件更多的信息,请参阅file的文挡资料。

CYGWIN环境

Cygwin是Windows操作系统中的一组实用工具,可提供Linux风格的命令行解释器(command shell)和相关程序。在安装过程中,有大量安装包可供用户选择,包括编译器(gcc、g++);解释器(Perl、Python、Ruby);网络实用工具(nc、ssh)等等。Cygwin安装完毕,许多为Linux编写的程序就可以在Windows系统中编译和执行。

在某些情况下,file还能够辨别某一指定文件类型中的细微变化。以下列表证实了file不仅能够识别几种不同的ELF二进制文件,而且还提供了有关二进制文件如何链接(静态或动态)以及是否去除了符号等信息。

idabook#  file ch2_ex_*

ch2_ex.exe:          MS-DOS executable PE for MS Windows (console)

Intel 80386 32-bit

ch2_ex_upx.exe:      MS-DOS executable PE for MS Windows (console)

Intel 80386 32-bit, UPX compressed

ch2_ex_freebsd:      ELF 32-bit LSB executable, Intel 80386,

version 1 (FreeBSD), for FreeBSD 5.4,

dynamically linked (uses shared libs),

FreeBSD-style, not stripped

ch2_ex_freebsd_static:    ELF 32-bit LSB executable, Intel 80386,

version 1 (FreeBSD), for FreeBSD 5.4,

statically linked, FreeBSD-style, not stripped

ch2_ex_freebsd_static_strip: ELF 32-bit LSB executable, Intel 80386,

version 1 (FreeBSD), for FreeBSD 5.4,

statically linked, FreeBSD-style, stripped

ch2_ex_linux:        ELF 32-bit LSB executable, Intel 80386,

version 1 (SYSV), for GNU/Linux 2.6.9,

dynamically linked (uses shared libs),

not stripped

ch2_ex_linux_static:      ELF 32-bit LSB executable, Intel 80386,

version 1 (SYSV), for GNU/Linux 2.6.9,

statically linked, not stripped

ch2_ex_linux_static_strip:    ELF 32-bit LSB executable, Intel 80386,

version 1 (SYSV), for GNU/Linux 2.6.9,

statically  linked, stripped

ch2_ex_linux_stripped:    ELF 32-bit LSB executable, Intel 80386,

version 1 (SYSV), for GNU/Linux 2.6.9,

dynamically linked (uses shared libs), stripped

file及类似的实用工具同样也会出错。如果一个文件包含某些文件格式的标志,这些工具很可能会产生误判。你可以使用一个十六进制文件编辑器将任何文件的前4个字节修改为Java的幻数序列:CA FE BA BE,自己证实一下上述情况。这时,file会将这个新修改的文件错误地识别为“已编译的Java类数据”。同样,一个只包含MZ这两个字符的文本文件会被误认为是一个MS-DOS可执行文件。在逆向工程过程中,一个良好的习惯是,绝不要完全相信任何工具所提供的结果,除非该结果得到其他几款工具和手动分析的确认。

1.1.2    PE Tools

PE Tools[4]是一个实用工具的集合,用于分析Windows系统中正在运行的进程和可执行文件。PE Tools的主界面如图2-1所示,其中列出了所有活动进程,并提供所有的PE Tools实用工具。

图2-1:PE Tools实用程序

二进制文件的模糊处理

模 糊是指任何企图掩盖真正意义上的东西。当应用到可执行文件,模糊是指任何试图隐藏程序的真实行为。有许多原因可以让程序员对程序采用模糊处理。普遍引用的 例子包括:保护专有算法和模糊恶意意图。几乎所有恶意软件的形式利用模糊处理,以阻碍对其进行分析。有大量模糊工具可供程序员使用,帮助他们创建模糊程 序。模糊处理工具和技术,以及对逆向工程过程的相关影响,将在第21章中进一步讨论。

在进程列表中,用户可以将进程的内存映像转储到某个文件,或利用PE Sniffer实用工具确定可执行文件由何种编译器构建,或者该文件是否经过某种已知的模糊处理实用工具处理。Tools菜单提供了磁盘文件分析的类似选项。另外,用户还可以使用内嵌的PE Editor实用工具查看PE文件头字段,使用该工具可以方便修改任何文件头的值。通常,如果想要从一个文件的模糊版本重建一个有效的PE,就需要修改PE文件头。

1.1.3    PEiD

PEiD[5]是另一款Windows工具,它主要用于识别构建某一特定Windows PE二进制文件所使用的编译器,并确定任何用于模糊Windows PE二进制文件的工具。图2-2显示了如何使用PEiD确定模糊Gaobot[6]蠕虫的一个变种所使用的工具(此例中为ASPack)。

图2-2:PEiD实用工具

PEiD的许多其他功能与PETools的功能相同,包括显示PE文件头信息摘要、收集有关正在运行的进程的信息、执行基本的反汇编等。

1.2     摘要工具

由 于我们的目标是对二进制程序文件进行逆向工程,因此,在对文件进行初步分类后,需要用更高级的工具来提取详尽的信息。本节讨论的工具不只能识别它们所处理 的文件的格式,更重要的是还能够理解某一特定的文件格式,并且能够解析它们的输入文件,提取出这些输入文件所包含的非常特别的信息。

1.2.1    nm

当源文件编译为目标文件,编译器必须嵌入一些全局(外部)符号的位置信息,以便链接器在组合目标文件以创建可执行文件时,能够解析对这些符号的引用。除非被告知要去除最终的可执行文件中的符号,否则,链接器通常会将目标文件中的符号带入最终的可执行文件中。根据nm手册的描述,这一实用工具的目的是“列举目标文件中的符号”。

使用nm检查中间目标文件(扩展名为.o的文件,而非可执行文件)时,默认输出结果是在这个文件中声明的任何函数和全局变量的名称。nm实用工具的样本输出如下所示:

idabook# gcc -c ch2_example.c

idabook# nm ch2_example.o

U __stderrp

U exit

U fprintf

00000038 T get_max

00000000 t hidden

00000088 T main

00000000 D my_initialized_global

00000004 C my_unitialized_global

U printf

U rand

U scanf

U srand

U time

00000010 T usage idabook#

从中可以看到,nm列出了每个符号以及与符号有关的一些信息。其中的字母表示所列举符号的类型。这里我们解释前面的例子中出现了以下字母代码:

? U——未定义符号,通常为外部符号引用。

? T——在文本部分定义的符号,通常为函数名称。

? t——在文本部分定义的局部符号。在C程序中,这个符号通常等同于一个静态函数。

? D——已初始化的数据值。

? C——未初始化的数据值。

注:大写字母表示全局符号,小写字母则表示局部符号。请参阅nm手册了解有关字母代码的详细解释。

使用nm列举可执行文件中的符号,会有更多信息显示出来。在链接过程中,符号被解析成虚拟地址(如有可能)。因此,这时运行nm,将可获得更多信息。下面是使用nm处理一个可执行文件得到的部分输出:

idabook# gcc -o ch2_example ch2_example.c

idabook# nm ch2_example

<.  . .>

U exit

U fprintf

080485c0 t frame_dummy

08048644 T  get_max

0804860c t hidden

08048694 T  main

0804997c D  my_initialized_global

08049a9c B my_unitialized_global

08049a80 b object.2

08049978 d p.0

U printf

U rand

U scanf

U srand

U time

0804861c T usage

idabook#

在这个例子中,一些符号(如main)分配了虚拟地址,链接过程引入了一些新的符号(如frame_dummy),另一些符号(如my_unitialized_global)的类型发生了改变,其他符号由于继续引用外部符号,仍旧为未定义符号。在这个特例中,我们检测的文件属于动态链接二进制文件,为此,未定义的符号将在C语言共享库中定义。要了解更多有关nm的信息,请参阅nm手册。

1.2.2    ldd

创建可执行文件时,必须解析该文件引用的任何库函数的地址。链接器通过两种方法解析对库函数的调用:静态链接(static linking)和动态链接(dynamic linking)。链接器的命令行参数决定具体使用哪一种方法。一个可执行文件可能为静态链接、动态链接,或二者兼而有之[7]

要求静态链接时,链接器会将程序的目标文件和所需的库文件组合起来,生成一个可执行文件。这样,在运行时就不需要确定库代码的位置,因为它已经包含在可执行文件中。静态链接的优点:(1)函数调用速度会更快些;(2)发布二进制文件更容易,因为不需要对用户系统中库函数的可用性做出任何假设。缺点包括:(1)生成的可执行文件较大;(2)如果库组件发生改变,对程序进行升级会更加困难,因为一旦库发生变化,程序就必须重新链接。从逆向工程的角度看,静态链接使问题更加复杂。在分析一个静态链接二进制文件时,要回答“这个二进制文件链接了哪些库”,可不是那么容易。我们将在第12章讨论在对静态链接代码进行逆向工程时遇到的挑战。

动态链接与静态链接不同。使用动态链接时,链接器不需要复制它需要的任何库。相反,链接器只需将对所需库(通常为.so或.dl文 件)的引用插入到最终的可执行文件中。因此,生成的可执行文件也会更小些。而且,使用动态链按时升级库代码也变得简单多了,因为只需要维护一个库(被许多 二进制文件引用)。如果需要升级库代码,用新版本的库替换过时的库,就可以立即更新每一个引用该库的二进制文件。使用动态链接的一个缺点是,它需要更复杂 的加载过程。因为这时必须定位所有所需的库,并将其加载到内存中,而不是加载一个包含全部库代码的静态链接文件。动态链接的另一个缺点,是供应商不仅需要 发布他们自己的可执行文件,而且必须发布该文件所需的所有库文件。如果一个系统无法提供程序所需的全部库文件,在这个系统上运行该程序将会导致错误。

下面的输出说明了一个程序的动态和静态链接版本的创建过程、生成的二进制文件的大小,以及如何使用file工具识别这两个程序:

idabook# gcc -o ch2_example_dynamic ch2_example.c

idabook# gcc -o ch2_example_static ch2_example.c --static

idabook# ls  -l ch2_example_*

-rwxr-xr-x    1 root  wheel    6017 Sep 26 11:24 ch2_example_dynamic

-rwxr-xr-x    1 root  wheel  167987 Sep 26 11:23 ch2_example_static

idabook#  file ch2_example_*

ch2_example_dynamic: ELF 32-bit LSB executable, Intel 80386, version 1

(FreeBSD), dynamically linked (uses shared libs), not stripped

ch2_example_static:  ELF 32-bit LSB executable, Intel 80386, version 1

(FreeBSD), statically linked, not stripped

idabook#

为了确保动态链接正常运行,动态链接二进制文件必须指明它需要的库文件,以及需要这些文件中的哪些特定资源。因此,与静态链接二进制文件不同,我们可轻易确定一个动态链接二进制文件所依赖的库文件。ldd (list dynamic dependencies) 是一个简单的实用工具,可用来列举任何可执行文件所需的动态库。在下面这个例子中,我们使用ldd确定Apache Web服务器所依赖的库:

idabook#  ldd /usr/local/sbin/httpd

/usr/local/sbin/httpd:

libm.so.4 => /lib/libm.so.4  (0x280c5000)

libaprutil-1.so.2 => /usr/local/lib/libaprutil-1.so.2 (0x280db000)

libexpat.so.6 => /usr/local/lib/libexpat.so.6 (0x280ef000)

libiconv.so.3 => /usr/local/lib/libiconv.so.3 (0x2810d000)

libapr-1.so.2 => /usr/local/lib/libapr-1.so.2 (0x281fa000)

libcrypt.so.3 => /lib/libcrypt.so.3 (0x2821a000)

libpthread.so.2 => /lib/libpthread.so.2 (0x28232000)

libc.so.6 => /lib/libc.so.6  (0x28257000)

idabook#

ldd实用工具可用于Linux和BSD系统。在OS X系统上,使用otool工具,并带上-L选项(otool -L 文件名),即可实现类似的功能。在Windows系统中,可以使用Visual Studio工具套件中的实用工具dumpbin列举某文件所依赖的库,形式为:dumpbin /dependents 文件名。

1.2.3    objdump

ldd相当专业,而objdump非常灵活。objdump的主要目的是“显示目标文件中的信息。”[8]。这是一个相当广泛的目标,objdump为此提供了大量命令行选项(超过30个),以提取目标文件中的各种信息。objdump可用于显示以下与目标文件相关的数据(以及其他更多信息):

节头(Section headers)

在程序文件中的每一节的摘要信息。

私有头(Private headers)

程序存储器的布局信息以及运行时加载器所需的其他信息,包括由ldd等工具生成的库列表。

调试信息(Debugging information)

提取出嵌入在程序文件中的任何调试信息。

符号信息(Symbol information)

以类似nm的方式转储符号表信息。

反汇编列表(Disassembly listing)

objdump对文件中标记为代码的部分执行线性扫描反汇编。反汇编x86代码时,objdump可以生成AT&T或Intel语法,并可以将反汇编代码保存在文本文件中。这样的文本文件叫做反汇编完全列表(dead listing),尽管这些文件可用于实施逆向工程,但它们很难有效导航,也无法以一致且无错的方式修改。

objdump是GNU binutils[9]工具套件的一部分,用户可以在Linux、FreeBSD和Windows(通过Cygwin)系统中找到这个工具。objdump依靠二进制文件描述符库libbfd(二进制工具的一个组件)来访问目标文件,因此,它能够解析libbfd支持的文件格式(ELF、PE等)。另外,一个名为readelf的实用工具也可用于解析ELF文件。readelf的大多数功能与objdump相同,它们之间的主要区别在于:readelf并不依赖libbfd。

1.2.4    otool

otool可用于解析与OS X Mach-O二进制文件有关的信息,因此,可简单将其描述为:OS X系统下的类似于objdump的实用工具。下面的代码说明了如何使用otool显示一个Mach-O二进制文件的动态库依赖关系,从而执行类似于ldd的功能。

idabook# file osx_example

osx_example: Mach-O executable ppc

idabook# otool -L osx_example

osx_example:

/usr/lib/libstdc++.6.dylib (compatibility version 7.0.0, current version 7.4.0)

/usr/lib/libgcc_s.1.dylib (compatibility version 1.0.0, current version 1.0.0)

/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 88.1.5)

otool可用于显示与文件的头和符号表有关的信息,并对文件的代码部分进行反汇编。了解更多有关otool功能的信息,请参阅相关手册。

1.2.5    dumpbin

dumpbin是微软Visual Studio工具套件中的一个命令行实用工具。与otool和objdump一样,dumpbin可以显示大量与Windows PE文件有关的信息。下面的例子说明了如何使用dumpbin以类似于ldd的方式显示Windows计算器程序的动态依赖关系。

$ dumpbin /dependents calc.exe

Microsoft (R) COFF/PE Dumper Version 8.00.50727.762

Copyright (C) Microsoft Corporation. All rights reserved.

Dump of file calc.exe

File Type: EXECUTABLE IMAGE

Image has the following dependencies:

SHELL32.dll

msvcrt.dll

ADVAPI32.dll

KERNEL32.dll

GDI32.dll

USER32.dll

dumpbin的其他选项可从PE二进制文件的各个部分提取信息,包括符号、导入的函数名、导出的函数名和反汇编代码。要了解更多有关如何使用dumpbin的信息,请访问Mircrosoft Developer Network(MSDN)[10]

1.2.6    c++filt

由于每个重载函数都使用与原函数相同的名称,因此,支持函数重载的语言必须拥有一种机制,以区分同一个函数的许多重载版本。下面的C++实例展示了一个名为demo的函数的几个重载版本的原型:

void demo(void);

void demo(int x);

void demo(double x);

void demo(int x, double y);

void demo(double x, int y);

void demo(char* str);

作为一般原则,一个目标文件中不可能有两个名称相同的函数。为允许重载,编译器将描述函数参数类型的信息合并到函数的原始名称中,生成重载函数的唯一名称。为名称完全相同的函数生成唯一名称的过程称为名称修饰(name mangling)。如果使用nm转储前面的C++代码的已编译版本中的符号,将得到如下结果(在demo版本的过滤焦点):

idabook# g++ -o cpp_test cpp_test.cpp

idabook# nm cpp_test | grep demo

0804843c T _Z4demoPc

08048400 T _Z4demod

08048428 T _Z4demodi

080483fa T _Z4demoi

08048414 T _Z4demoid

080483f4 T _Z4demov

C++标准没有为名称改编方案制定标准,因此,编译器设计人员必须自己制定标准。为了译解上面列出的demo函数的重载版本,我们需要一个能够理解编译器(这里为g++)的名称改编方案的工具,c++filt正是这样一个实用工具。c++filt将每个输入的名称看成是改编后的名称(mangled name)[11],并设法确定用于生成该名称的编译器。如果这个名称是一个合法的改编名称,那么,c++filt就输出改编之前的名称; 如果c++filt无法识别一个改编名称,那它就按原样输出该名称。

如果柴将上面nm输出的结果交给c++filt处理,它可以得到这些函数的原始名称,如下所示:

idabook# nm cpp_test | grep demo | c++filt

0804843c T demo(char*)

08048400 T demo(double)

08048428 T demo(double, int)

080483fa T demo(int)

08048414 T demo(int, double)

080483f4 T demo()

值得注意的是,改编名称可能包含其他与函数有关的信息,正常情况下,nm无法显示这些信息。在逆向工程过程中,这些信息可能非常重要。在更复杂的情况下,这些附加信息中可能还包含与类名称或函数调用约定有关的信息。

1.3     深度检测工具

到目前为止,我们已经讨论了一些工具,利用这些工具,可以在对文件的内部结构知之甚少的情况下对文件进行粗略分析,也可以在深入了解文件的结构之后,从文件中提取出特定的信息。在本节中,我们将介绍一些专用于从任何格式的文件中提取出特定信息的工具。

1.3.1    strings

有 时候,提出一些与文件内容有关的常规性问题,即那些不需要了解文件结构即可回答的问题,对我们会有一定帮助。例如:“这个文件包含任何嵌入的字符串吗?” 当然,在回答这个问题之前,必须先回答这个问题:“究竟是什么构成一个字符串?” 我们将字符串简单定义为由可打印字符组成的连续字符序列。通常,在这一定义的基础上,还需要指定一个最小长度和一个特定的字符集。因此,可以搜索至少包含4个连续可打印ASCII字符的字符串,并将结果在控制台打印出来。搜索这类字符串一般不会受到文件结构的限制。在ELF二进制文件中搜索字符串就像在微软Word文挡中搜索字符串一样简单。

strings实用工具专门用于提取文件中的字符串内容,通常,使用该工具不会受到文件格式的限制。使用strings的默认设置(至少包含4个字符的7位ASCII序列),可得到以下结果:

idabook# strings ch2_example

/lib/ld-linux.so.2

gmon_start

libc.so.6

_IO_stdin_used

exit

srand

puts

time

printf

stderr

fwrite

scanf

libc_start_main

GLIBC_2.0

PTRh

[^_]

usage: ch2_example [max]

A  simple guessing game!

Please guess a number between 1 and %d.

Invalid input, quitting!

Congratulations, you got it in %d attempt(s)!

Sorry too low, please try again

Sorry too high, please try again

不过,我们发现,一些字符串看起来像程序输出,一些字符串则像函数名称或库名称。因此,绝不能只根据这些字符串来断定程序的功能。分析人员往往会掉入陷阱,根据strings的输出来推断程序的功能。需要记住的是:二进制文件中包含某个字符串,并不表示该文件会以某种方式使用这个字符串。

下面是使用strings时需要注意的事项:

? 请记住:使用strings处理可执行文件时,默认情况下,strings只扫描文件中可加载的、经初始化的部分。使用命令行参数-a可迫使strings扫描整个文件。

? strings不指出字符串在文件中的位置。使用-t命令行参数可使strings显示所发现的每一个字符串的文件偏移量信息。

? 许多文件使用了其他字符集。利用-e命令行参数可使strings搜索更广泛的字符,如16位Unicode字符。

1.3.2     反汇编器

如前所述,有很多工具都可以生成二进制目标文件的完全列表形式的反汇编。PE、ELF和MACH-O文件分别使用dumpbin、objdump和otool进行反汇编。但是,它们中任何一个都无法处理任意格式的二进制文件。有时候,你会遇到一些并不采用常用文件格式的二进制文件,在这种情况下,你就需要一些能够从用户指定的偏移量开始反汇编过程的工具。

两个用于x86指令集流式反汇编器:ndisasm和diStorm[12]。ndisasm是包含在Netwide Assembler(NASM)[13]中的一个实用程序。下面的例子说明了如何使用ndisasm反汇编一段由Metasploit框架[14]生成的shellcode:

idabook#  ./msfpayload linux/x86/shell_findport CPORT=4444   R  > fs

idabook#  ls  -l fs

-rw-r--r-- 1 ida  ida  62 Dec  11 15:49 fs

idabook#  ndisasm  -u fs

00000000  31D2       xor  edx,edx

00000002  52             push edx

00000003  89E5       mov  ebp,esp

00000005  6A07       push byte  +0x7

00000007  5B              pop ebx

00000008  6A10       push byte  +0x10

0000000A  54             push esp

0000000B  55             push ebp

0000000C  52             push edx

0000000D  89E1       mov  ecx,esp

0000000F  FF01       inc  dword [ecx]

00000011  6A66       push byte  +0x66

00000013  58              pop eax

00000014  CD80       int 0x80

00000016  66817D02115C    cmp  word [ebp+0x2],0x5c11

0000001C  75F1       jnz  0xf

0000001E  5B             pop ebx

0000001F  6A02       push byte  +0x2

00000021  59             pop ecx

00000022  B03F       mov  al,0x3f

00000024  CD80       int 0x80

00000026  49              dec ecx

00000027  79F9       jns  0x22

00000029  52              push edx

0000002A  682F2F7368      push dword 0x68732f2f

0000002F  682F62696E      push dword 0x6e69622f

00000034  89E3       mov  ebx,esp

00000036  52              push edx

00000037  53             push ebx

00000038  89E1       mov  ecx,esp

0000003A  B00B       mov  al,0xb

0000003C  CD80       int 0x80

由于流式反汇编非常灵活,因此它的用途相当广泛。例如,在分析网络数据包中可能包含shellcode的计算机网络攻击时,就可采用流式反汇编器来反汇编数据包中包含shellcode的部分,分析恶意负载的行为。另外一种情况是分析那些格式未知的ROM镜像。ROM中有些部分是数据,其他部分则为代码,可以使用流式反汇编器来反汇编镜像中的代码。

1.4     小结

本章所讨论的工具不一定是同类中最好的,但它们是从事二进制文件逆向工程的分析人员常用的工具。更重要的是,这些工具大大促进了IDA的开发过程。在接下来的几章中,我们还会讨论这些工具。掌握这些工具可为你了解IDA的用户界面以及它显示的许多信息提供极大帮助。


[1] 请参阅http://www.cygwin.com/。

[2] 请参阅http://www.mingw.org/。

[3] 幻数是一些文件格式规范所要求的特殊标签值,它表示文件符合这种规范。有时,人们在选择幻数时加入了幽默的因素。例如,MS-DOS的可执行文件头中的MZ标签是MS-DOS原架构师Mark Zbikwsk姓名的首字母缩写。众所周知,Java的.class文件的幻数为十六进制数0xcafebabe,选择它作为幻数,仅仅是因为它是一个容易记忆的十六进制数字符串。

[4] 请参阅http://petools.org.ru/petools.shtml。

[5]请参阅http://peid.info/。

[6]请参阅http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2003-112112-1102-99。

[7]有关链接的更多信息,请参阅John R. Levine所著的《Linkers and Loaders》(San Francisco: Morgan Kaufmann, 2000)。

[8] 请参阅http://www.sourceware.org/binutils/docs/binutils/objdump.html#objdump/。

[9] 请参阅http://www.gnu.org/software/binutils/。

[10]请参阅http://msdn.microsoft.com/en-us/library/c1h23y6c(VS.71).aspx。

[11]有关名称改编的概述,请参考http://en.wikipedia.org/wiki/Name_mangling。

[12]请参阅http://www.ragestorm.net/distorm/。

[13]请参阅http://nasm.sourceforge.net/。

[14]请参阅http://www.metasploit.com/。

时间: 2024-10-17 05:46:43

逆向与反汇编工具的相关文章

逆向中静态分析工具——IDA初学者笔记

逆向中静态分析工具--IDA初学者笔记 //******************************************************************************//IDA初学者笔记 //******************************************************************************//作者:Cai//日期:2011-10-18//**********************************

反汇编工具使用

内核开发,kernel panic是再常见不过的了,根据异常栈通常即可定位出代码出错的大概位置,但是有些时候我们还是会需要使用反汇编工具来帮助我们定位一些异常,objdump. 该反汇编工具存在于prebuilts/gcc/linux-x86/arm/gcc-linaro-aarch64-linux-gnu/bin/文件夹下,可参考如下使用方法: 1)   prebuilts/gcc/linux-x86/arm/gcc-linaro-aarch64-linux-gnu/bin/aarch64-l

数据库逆向框架代码生成工具:MyBatis Generator的使用

MyBatis Generator的详细介绍http://mybatis.github.io/generator/index.html MyBatis Generator  With Maven http://mybatis.github.io/generator/running/runningWithMaven.html 1前言 前段时间根据工作需要,使用Spring+Mybatis完成了一个功能模块,领导推荐了MyBatis Generator(以下简称为MBG),可以逆向生成持久层的基本代

自制反汇编工具使用实例 其二(使用xmm寄存器初始化对象,以及空的成员函数指针)

在反汇编代码中,当看到xmm寄存器,第一反应是将要进行浮点操作或访问,但是更加多的情况是在使用xmm寄存器初始化局部对象. 下面是自制反汇编工具翻译出来的代码: // -[CALayer setAllowsEdgeAntialiasing:] void CALayer20_setAllowsEdgeAntialiasing3A_(id self, SEL sel, uintptr_t setAllowsEdgeAntialiasing) { // 0 pushq %rbp // 1 rbp =

自制反汇编工具使用实例 其一

这里有一个(x64)例子,刚好说明寄存器在函数中的位置编排.rdi是第一个不为浮点或数据结构对象的参数,这里的第一个参数实质上与我们定义的函数类型的第一个参数不是对应的.当函数类型是类成员函数,rdi首先安放this指针.当函数类型返回数据结构对象时,rdi优先安排返回结果的指针(这个临时对象就在上一级的栈中,指针指向临时对象).如果满足上面两种情况,临时对象地址优先,这时rdi是临时对象,rsi才是this指针. 下面是我自制反汇编工具生成的代码: // -[CALayer setAffine

分享:反汇编工具和模糊处理工具原理及使用

反编译和对安全的威胁      虽然,大部分的代码反编译是完全正大光明的,但事实是一个优秀的反汇编器是软件侵权的必需工具之一.正因如此,尤其对于在商业和不开放源代码领域中的开发人员来说,便宜的(或免费的) Java 代码反汇编工具的存在是一个严重的问题.       就语言本身而言, 由于其相对简单的 Java 虚拟机(与真实的微处理器相比)和其写得很规范的字节码格式, Java 代码非常容易反汇编.而这随着 Java 语言在 Web 开发平台上的日益普及,已经在商业开发领域引起了很多争议.自从

逆向开发基础工具

小白:小程,我一直想问,什么是逆向来着?是逆向行驶吗? 小程:理解为逆向行驶也没错.一般的项目是从无到有,从大唐而来到西方取经,而逆向是从已有的状态入手,分析出已有的流程与结构的手段. iOS上的逆向开发,是一件有趣的事情(虽然有时也会很痛苦),而且还可能给你带来收益. 在接下来的几篇文章,小程会尝试介绍iOS逆向的一系列的知识与技能:从基础工具的使用,到目标类的定位.目标代码的调试,再到注入微信的实战示例.读者如果感兴趣,可以关注小程的微信公众号"广州小程",获得后续的更新. 本文介

逆向中静态分析工具——IDA初学者笔记之字符串分析

逆向中静态分析工具--IDA初学者笔记之字符串分析 程序中往往包含很多字符串资源,这些资源存在于PE文件的rdata段,使用IDA反编译后,可以查找到这些字符串, 逆向破解程序通常需要一个突破点,而这个突破点,往往就是一个Messagebox,因为这个Messagebox可以很直观的 让我们知道当前位置的代码负责哪些功能,而同时Messagebox可以提供一个字符串让我们来查找定位. 首先,打开IDA,主菜单View-Open subviews-strings: 这时出来一个strings窗口,

为了CTF比赛,如何学习逆向和反汇编?

作者:无名侠链接:https://www.zhihu.com/question/23810828/answer/138696052来源:知乎著作权归作者所有,转载请联系作者获得授权. 元旦节马上就要过去,赶紧趁着12点之前写完回答. ====如果觉得本文对你有用,请点个赞并关注一下我吧~==== 我做逆向大概四年左右,虽然我没有参加过CTF,但还是可以写一些关于如何学习逆向方面的内容~ 逆向实际上是很枯燥的工作,我能从枯燥中感到快乐,这就是支撑我学习逆向的动力了. 学习逆向后有什么用?难道就仅仅