超级会员免费看
逆向工程工具与技术深度解析
1. 逆向工程基础
逆向工程旨在不借助源代码的情况下,剖析可执行程序的功能与运行机制。调试器在其中扮演着关键角色,即便没有源代码,也能查看程序及其数据。若有源代码,就无需逆向分析,可直接正向查看。
2. 反汇编
编译过程会生成可执行镜像,其核心是处理器语言的可执行指令。每个处理器都有操作码(opcodes),这些操作码对处理器而言是指向特定区域的数值。可执行部分除操作码外,还包含数值、寄存器信息等。然而,直接解读数值操作码效率低下。
操作码常以助记符表示,助记符简短且(在一定程度上)易读,能直接对应操作码。64位英特尔指令集约有1000个操作码及三倍以上的变体,而基于移动设备、树莓派和苹果处理器的ARM指令集指令少于300条。当操作码数量达到数百个时,在脑海中映射操作变得困难,因此助记符至关重要。
能将操作码转换为助记符的程序即反汇编器。Kali系统中的
objdump
就是一个简单的命令行反汇编工具,使用
-d
参数可反汇编可执行代码段。以下是其输出示例:
┌──(kilroy@savagewoofer)-[~]
└─$ objdump -d fail
fail: file format elf64-x86-64
Disassembly of section .init:
0000000000001000 <_init>:
1000: 48 83 ec 08 sub $0x8,%rsp
1004: 48 8b 05 c5 2f 00 00 mov 0x2fc5(%rip),%rax
# 3fd0
<__gmon_start__@Base>
100b: 48 85 c0 test %rax,%rax
100e: 74 02 je 1012 <_init+0x12>
1010: ff d0 call *%rax
1012: 48 83 c4 08 add $0x8,%rsp
1016: c3 ret
此为代码的静态表示,无法展示程序运行时内存中的情况。图形化反汇编器如
edb
,不仅能反汇编,还能像调试器一样执行程序,逐步查看函数调用和寄存器内容。不过,
edb
只能处理ELF可执行文件。
Kali还支持使用Windows反汇编器
ollydbg
,它借助Wine在Kali上运行。但
ollydbg
是32位应用程序,可能需要安装额外的支持包。
以下是反汇编工具的对比表格:
| 工具名称 | 类型 | 支持文件格式 | 特点 |
| ---- | ---- | ---- | ---- |
| objdump | 命令行工具 | ELF等 | 简单易用,可将二进制转换为汇编语言 |
| edb | 图形化工具 | ELF | 可执行程序并逐步调试 |
| ollydbg | 图形化工具 | Windows PE | 需Wine运行,32位应用 |
3. Java反编译
此前讨论的是编译型程序,对于有源代码的解释型程序(如Python)无需反汇编。Java程序会被编译为字节码,在Java虚拟机中执行,这种中间语言使Java程序具有可移植性。
编写Java程序后,使用
javac
编译成
.class
文件,然后用
java
命令执行。例如:
┌──(kilroy@badmilo)-[~]
└─$ cat simple.java
public class simple {
public static int addMe(int x, int y) {
return x + y;
}
public static void main(String[] args) {
int x, y;
x = 15;
y = 42;
System.out.printf("You are here, %d\n", addMe(x,y));
}
}
┌──(kilroy@badmilo)-[~]
└─$ javac simple.java
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -
Dswing.aatext=true
┌──(kilroy@badmilo)-[~]
└─$ file simple.class
simple.class: compiled Java class data, version 67.0
Kali中有Java反编译器
jadx - gui
,它能将编译后的输出转换回源代码,但无法还原出与原代码完全一致的代码。Kali还提供了其他Java反编译工具,如
jd - gui
,也可反编译Android程序,但目前Kali中没有其他语言的反编译器。
4. 逆向工程的必要性
逆向工程的应用场景广泛,主要有以下几点:
-
学习
:通过逆向分析程序,深入了解其实现原理,提升技术能力。
-
漏洞识别
:发现程序中的潜在漏洞,避免系统和数据遭受恶意攻击或窃取。
-
恶意软件分析
:分析恶意软件的功能和行为,了解其可能造成的危害和隐藏位置。
然而,分析恶意软件存在诸多困难。恶意软件能检测分析环境,若处于虚拟环境,可能不执行预定操作。此外,恶意软件作者会采用加密和压缩技术绕过反恶意软件系统。
5. Radare2工具
Radare2(简称r2)是一个逆向工程框架,支持多种文件格式和处理器架构,可进行静态和动态分析。以下是使用r2的操作步骤:
1.
启动分析
:使用
r2 -e bin.cache=true <文件名>
加载文件。
┌──(kilroy@badmilo)-[~]
└─$ r2 -e bin.cache=true sample-p.exe
[0x140009320]> i
fd 3
file sample-p.exe
size 0x2200
humansz 8.5K
minopsz 1
maxopsz 16
invopsz 1
mode r-x
format pe64
iorw false
block 0x100
type EXEC (Executable file)
arch x86
baddr 0x140000000
binsz 8704
bintype pe
bits 64
canary false
retguard false
class PE32+
cmp.csum 0x00011379
-
全面分析
:使用
aa命令分析所有内容。
[0x00000740]> aa
[x] Analyze all flags starting with sym. and entry0 (aa)
-
查看函数汇编代码
:使用
pdf @ <函数名>查看指定函数的汇编代码。
[0x00000740]> pdf @ main
┌ 136: int main (int argc, char **argv);
│ ; var int64_t var_20h @ sp+0x20
│ ; arg int argc @ x0
│ ; arg char **argv @ x1
│ 0x0000088c fd7bbca9 stp x29, x30, [sp, -0x40]!
│ 0x00000890 fd030091 mov x29, sp ;
'\xff\xff\xff\xff\
xff\xff\xff\xff'
│ 0x00000894 e01f00b9 str w0, [sp, 0x1c] ; argc
│ 0x00000898 e10b00f9 str x1, [sp, 0x10] ; argv
│ 0x0000089c 00000090 adrp x0, 0
│ 0x000008a0 00e02491 add x0, x0,
str.Enter_the_password_to_continue_
│ 0x000008a4 9fffff97 bl sym.imp.printf ; int
printf(const
char
*format)
│ 0x000008a8 e0830091 add x0, var_20h
│ 0x000008ac e10300aa mov x1, x0 ;
'\xff\xff\xff\xff\
xff\xff\xff\xff'
│ 0x000008b0 00000090 adrp x0, 0
│ 0x000008b4 00602591 add x0, x0, 0x958
│ 0x000008b8 92ffff97 bl sym.imp.__isoc99_scanf ;
-
获取帮助
:使用
?获取命令帮助,也可在命令后追加?获取特定命令的详细信息。
[0x00000740]> af?
Usage: af
| af ([name]) ([addr]) analyze functions (start
at addr or $$)
| afr ([name]) ([addr]) analyze functions
recursively
| af+ addr name [type] [diff] hand craft a function
(requires afb+)
| af- [addr] clean all function
analysis data (or
function at addr)
| afa analyze function arguments
in a call
(afal honors dbg.funcarg)
| afb+ fcnA bbA sz [j] [f] ([t]( [d])) add bb to function @
fcnaddr
| afb[?] [addr] List basic blocks of given
function
| afbF([0|1]) Toggle the basic-block
'folded' attribute
| afB 16 set current function as
thumb (change
asm.bits)
| afC[lc] ([addr])@[addr] calculate the Cycles (afC)
or
Cyclomatic Complexity
(afCc)
| afc[?] type @[addr] set calling convention for
function
| afd[addr] show function + delta for
given offset
| afF[1|0|] fold/unfold/toggle
| afi [addr|fcn.name] show function(s)
information (verbose afl)
-
查看符号表
:使用
fs symbols切换到符号表,然后用f列出符号。
[0x00000740]> fs symbols
[0x00000740]> f
0x00000278 32 obj.__abi_tag
0x00000670 0 sym._init
0x00000740 1 entry0
0x00000740 52 sym._start
0x00000774 20 sym.call_weak_fn
0x00000790 0 sym.deregister_tm_clones
0x000007c0 0 sym.register_tm_clones
0x00000800 1 entry.fini0
0x00000800 0 sym.__do_global_dtors_aux
0x00000850 1 entry.init0
0x00000850 0 sym.frame_dummy
0x00000854 56 sym.strCpy
0x0000088c 256 main
0x0000088c 136 sym.main
0x00000914 0 sym._fini
0x00000928 4 obj._IO_stdin_used
0x000009b0 0 loc.__GNU_EH_FRAME_HDR
0x00000ac0 0 obj.__FRAME_END__
0x0001fdc8 0 obj.__frame_dummy_init_array_entry
0x0001fdd0 0 obj.__do_global_dtors_aux_fini_array_entry
0x0001fdd8 0 obj._DYNAMIC
0x0001ffb8 0 obj._GLOBAL_OFFSET_TABLE_
0x00020040 0 loc.data_start
0x00020040 0 loc.__data_start
0x00020048 0 obj.__dso_handle
0x00020050 1 obj.completed.0
0x00020050 0 loc.__bss_start__
0x00020050 0 loc._edata
0x00020050 0 loc.__bss_start
0x00020050 0 obj.__TMC_END__
0x00020058 0 loc._bss_end__
0x00020058 0 loc.__bss_end__
0x00020058 0 loc._end
0x00020058 0 loc.__end__
-
分析单个函数
:使用
af <函数名>分析指定函数,afd显示函数名,afi显示函数详细信息。
[0x00000740]> aa
[x] Analyze all flags starting with sym. and entry0 (aa)
[0x00000740]> af strCpy
[0x00000740]> afd
strCpy
[0x00000740]> afi
#
offset: 0x00000740
name: strCpy
size: 4
is-pure: true
realsz: 4
stackframe: 0
call-convention: arm64
cyclomatic-cost: 1
cyclomatic-complexity: 0
bits: 64
type: fcn [NEW]
num-bbs: 1
edges: 1
end-bbs: 0
call-refs:
data-refs:
code-xrefs:
noreturn: false
in-degree: 0
out-degree: 0
data-xrefs:
locals: 0
args: 3
arg int64_t arg_0h @ sp+0x0
arg int64_t arg_8h @ sp+0x8
arg int64_t arg1 @ x0
diff: type: new
- 调试功能 :r2还可作为调试器使用,设置断点并查看寄存器状态。
┌──(kilroy@badmilo)-[~]
└─$ r2 -e bin.cache=true fail-pi
[0x00000740]> aa
[af: Cannot find function at 0x00000740. and entry0 (aa)
[x] Analyze all flags starting with sym. and entry0 (aa)
[0x00000740]> ood
File dbg:///home/kilroy/fail-pi reopened in read-write mode
[0xffff899e91c0]> db main
[0xffff899e91c0]> db*
dbm /home/kilroy/fail-pi 2188
[0xffff899e91c0]> dc
[0xffff899e91c0]> dr
x0 = 0x00000000
x1 = 0xaaab1e45f6b0
x2 = 0x00000400
x3 = 0x00000001
x4 = 0xfbad2288
x5 = 0x00000000
x6 = 0xffff899a135c
x7 = 0x00000004
x8 = 0x0000003f
x9 = 0x00000000
x10 = 0x00000020
x11 = 0x00000000
使用r2分析恶意软件十分方便,例如分析勒索软件WannaCry样本:
──(kilroy@badmilo)-[~/theZoo/malware/Binaries/Ransomware.WannaCry]
└─$ r2 -e bin.cache=true rwwc.exe
[0x004077ba]> aa
[x] Analyze all flags starting with sym. and entry0 (aa)
[0x004077ba]> i
fd 3
file rwwc.exe
size 0x35a000
humansz 3.4M
minopsz 1
maxopsz 16
invopsz 1
mode r-x
format pe
iorw false
block 0x100
type EXEC (Executable file)
arch x86
baddr 0x400000
binsz 3514368
bintype pe
bits 32
canary false
retguard false
class PE32
cmp.csum 0x00363012
compiled Sat Nov 20 04:05:05 2010
crypto false
endian little
havecode true
hdr.csum 0x00000000
laddr 0x0
lang msvc
linenum true
lsyms true
machine i386
nx false
os windows
overlay false
综上所述,逆向工程是一个复杂且重要的领域,Kali Linux提供的工具如反汇编器、反编译器和Radare2等,为逆向分析提供了有力支持。但要注意,工具固然重要,技术和经验同样不可或缺,因为恶意软件作者会不断采取措施逃避分析。
逆向工程工具与技术深度解析
6. 逆向工程流程总结
逆向工程通常遵循以下流程,该流程可以用mermaid流程图表示:
graph LR
A[选择目标程序] --> B[使用调试器初步分析]
B --> C{程序类型}
C -->|编译型程序| D[进行反汇编]
C -->|Java程序| E[进行Java反编译]
D --> F[使用反汇编工具分析代码]
E --> G[使用反编译工具还原代码]
F --> H[深入分析功能与漏洞]
G --> H
H --> I[若为恶意软件,分析行为与危害]
具体步骤如下:
1.
选择目标程序
:确定要进行逆向分析的可执行程序。
2.
使用调试器初步分析
:借助调试器查看程序运行时的状态和数据,即使没有源代码也能获取关键信息。
3.
判断程序类型
:区分是编译型程序还是Java程序。
4.
编译型程序反汇编
:使用反汇编工具(如
objdump
、
edb
、
ollydbg
)将机器代码转换为汇编语言,便于阅读和分析。
5.
Java程序反编译
:使用Java反编译工具(如
jadx - gui
、
jd - gui
)将字节码还原为源代码。
6.
深入分析功能与漏洞
:对反汇编或反编译后的代码进行详细分析,找出程序的功能逻辑和潜在漏洞。
7.
恶意软件分析
:如果目标是恶意软件,进一步分析其行为、可能造成的危害以及隐藏位置。
7. 不同类型程序逆向分析对比
不同类型的程序在逆向分析时具有不同的特点,以下是一个对比表格:
| 程序类型 | 编译方式 | 逆向分析方法 | 难度 | 工具 |
| ---- | ---- | ---- | ---- | ---- |
| 编译型程序 | 直接编译为机器代码 | 反汇编 | 较高,需理解汇编语言 |
objdump
、
edb
、
ollydbg
、
Radare2
|
| Java程序 | 编译为字节码,在虚拟机执行 | 反编译 | 适中,可还原部分源代码 |
jadx - gui
、
jd - gui
|
| 解释型程序(如Python) | 无需编译,直接解释执行 | 一般无需逆向分析,有源代码 | 低 | 无 |
8. 逆向工程实际应用案例
以下通过几个实际案例进一步说明逆向工程的应用:
-
案例一:软件漏洞修复
- 某公司发现其内部使用的一款软件存在潜在的安全漏洞,但没有源代码。通过逆向工程,使用
Radare2
对软件进行反汇编和分析,定位到漏洞所在的函数和代码段。开发人员根据分析结果对漏洞进行修复,避免了可能的安全风险。
-
案例二:恶意软件分析
- 安全团队发现了一款新型的勒索软件样本。使用
Radare2
对其进行静态和动态分析,了解其加密算法、传播方式和攻击目标。通过分析,安全团队开发出了相应的防护策略和清除工具,有效遏制了该勒索软件的传播。
-
案例三:学习开源软件实现原理
- 一名开发者想要学习一款开源软件的实现原理,但源代码过于复杂。通过逆向工程,使用反汇编工具对其可执行文件进行分析,逐步理解软件的功能模块和调用关系,从而加深了对该软件的理解。
9. 逆向工程的挑战与应对策略
逆向工程虽然有诸多工具和方法,但也面临一些挑战:
-
代码混淆与加密
:恶意软件作者会对代码进行混淆和加密,增加逆向分析的难度。应对策略是使用解密工具和技术,逐步还原代码。例如,对于简单的加密算法,可以通过分析加密密钥和算法逻辑进行解密。
-
缺乏调试信息
:有些程序在编译时会去除调试信息,使得逆向分析更加困难。可以尝试使用符号表恢复工具,或者通过分析代码的上下文和调用关系来推断函数和变量的含义。
-
动态行为复杂
:一些程序的行为会根据不同的环境和输入发生变化,难以全面分析。可以使用动态分析工具(如
Radare2
的调试功能),设置断点并逐步执行程序,观察其动态行为。
10. 逆向工程的未来发展趋势
随着技术的不断发展,逆向工程也呈现出一些新的趋势:
-
自动化工具的发展
:未来会有更多功能强大的自动化逆向分析工具出现,能够更快速、准确地完成逆向分析任务。例如,一些工具可以自动识别代码中的漏洞和恶意行为。
-
人工智能的应用
:人工智能技术将被应用于逆向工程中,帮助分析人员更好地理解复杂的代码和行为。例如,使用机器学习算法对大量的逆向分析数据进行学习,预测潜在的漏洞和攻击模式。
-
跨平台逆向分析
:随着软件的跨平台特性越来越明显,逆向分析工具需要支持更多的平台和架构,以满足不同场景的需求。
逆向工程是一个充满挑战和机遇的领域。通过合理使用各种工具和技术,结合丰富的经验和专业知识,分析人员可以深入了解程序的奥秘,为软件安全和技术学习提供有力支持。同时,要密切关注行业的发展趋势,不断提升自己的能力,以应对未来的挑战。
扫一扫
4138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
