超级会员免费看
逆向工程中的交叉引用解析与应用
1. 逆向工程中的常见问题及引用基础
在逆向工程二进制文件时,常见的问题包括“这个函数从哪里被调用?”以及“哪些函数访问了这些数据?”这些问题旨在识别和编目程序中各种资源的引用关系。
例如,在审查二进制文件中的 ASCII 字符串时,发现一个可疑字符串 “Pay within 72 hours or the recovery key will be destroyed and your data will remain encrypted forever”。仅该字符串本身只是间接证据,无法确认二进制文件是否具备执行加密勒索软件攻击的能力或意图。通过查询 “这个字符串在二进制文件中哪里被引用?” 可以快速定位使用该字符串的程序位置,进而确定是否存在相关的加密勒索软件代码。
再如,发现一个包含可溢出栈分配缓冲区的函数,要确定是否能利用该溢出漏洞,就需要询问 “哪些函数调用了这个易受攻击的函数?” 以及这些函数可能传递给该函数的数据性质。
Ghidra 可以帮助分析这些情况,它提供了丰富的机制来显示和访问引用信息。引用有方向的概念,类似于有向图中的边,从一个地址指向另一个地址。Ghidra 中的引用主要分为前向引用和后向引用(交叉引用),交叉引用在逆向工程中更常用,它可以帮助在代码和数据等位置之间导航。
2. 交叉引用(后向引用)详解
交叉引用在 Ghidra 中常被简称为 XREFs。以下通过具体例子来理解交叉引用的格式和含义。
*************************************
订阅专栏 解锁全文
扫一扫
2872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
