第
三章 静态分析技术
机器语言与汇编语言几乎是一致的,因此可将机器语言转化成汇编语言,这个过程叫做反汇编(Disassembler)。
一些边解释边执行的语言(解释性语言),可以还原出高级语言的原始结构,这个过程称为反编译(Decompiler)。
所谓静态分析,即从反汇编出来的程序清单上分析程序流程,了解模块完成的功能。
1、 文件类型分析
讲了FileInfo(简称Fi,在DOS窗口中操作)、PeiD(PE iDentifier,有GUI界面)两种文件类型分析工具的使用
2、资源
资源即数据,他们一般被存储在PE文件的.rsrc区块中,并且不能通过由程序源代码定义的变量直接访问,Windows提供函数直接或间接的把它们加载到内存区中以备使用。
资源类型:
(1)VC类标准资源(包括菜单、对话框、串表等资源);
(2)Delphi类标准资源(Rcdata资源);
(3)非标准的Unicode字符(主要是一些VB编译程序等)。
讲了Resource Hacker(资源黑客)和eXeScope(可以说是EXE、DLL等执行文件的解析终结工具)两个资源修改工具。
3、 W32Dasm使用(免费软件)
进行反汇编前,最好先用FileInfo、PeiD等侦测工具分析一下文件是否加壳,如果加壳,则需要先脱壳。
讲了W32Dasm的使用和以ReverseMe程序为例进行了反汇编演练和代码分析。
W32Dasm已经停止更新,终结版8.93版。
4、IDA Pro使用简介(付费软件)
IDA Pro(简称IDA)是交互式反汇编工具,主要用在逆向工程(Reverse Engineering)方面,用Win SDK开发的程序,用IDA配合一般比较容易被还原成源代码。
IDA并不自用解决程序中的问题,而是按照用户的指令找到可疑之处,由用户通知IDA怎样去做。
5、 文件编辑工具
介绍了Heiw、HexWorkshop、WinHex和UltraEdit等十六进制工具。
6、静态分析技术应用实例
提供一些简单的应用DIY
解密初步:练习对象是CrackMe.exe。
逆向工程初步:练习对象是ReverseMe。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
