《IDA PRO权威指南》第一章总结心得
最近看了《CTF特训营》这本书,了解了逆向的大体结构,但还不够深入,最近开了学,又在看这本《IDA PRO》,跟着实战工具的书走,学习的更快一些。
♥ Mingの心得
之前从未接触过汇编语言,所以在一开始看的比较吃力,相信之后可以渐入佳境。像“线性扫描反汇编”和“递归下降返汇编”这种词看的比较迷糊。
书中也说过,了解一些逆向的算法也大有益处。
♥Mingの内容总结
1.编程语言分为很多种:
二进制语句,也叫机器语言
汇编语言,有供人记忆的字符序列
第三代语言,有关键字和结构
2.反汇编是什么?
程序员写好程序代码,将其编译为汇编语言,用到二编译器,然后再用汇编器将汇编语言转化为机器语言。
所以,反汇编就是一个回溯的过程,把整个过程逆过来。
那为什么要反汇编?
原因:
- 分析恶意软件 除非是基于脚本的蠕虫,你很难去了解恶意软件的运行机制。这时候要采用动态分析(在沙盒中执行恶意软件,用检测工具记录他的所有行为)和静态分析(人力去看程序代码)
- 分析闭源软件的漏洞
一般的安全审核三步走:发现漏洞->分析漏洞->开发**程序
但如果设计二进制文件,就比上面要困难,因为你很难界定变量和数据,要解决这个问题,查看反汇编代码清单是唯一的办法。
例如,一个70字节的字符数组,在编译器分配下,会扩大到80字节。 - 软件互操作性
如果商家发布二进制形式的软件或者,只支持一种平台的硬件,,竞争对手想船舰一个可以和他互操作的软件是很困难的,那么为了开发支持该硬件的驱动程序,需要完成大量的****。 - 编译器验证
验证某编译器是否符合设计规范。 - 显示调试信息
生成代码清单
3,如何反汇编?
任务:对一个100kb的文件,请区分其中的代码与数据,并把代码转换成汇编语言显示给用户。
第一步:确定进行反汇编的代码区域、指令的起始地址
以反汇编可执行文件为例,这种文件必须符合通用格式。
如PE,ELF。可以用来确定文件中包含代码和代码入口点的部分的位置
第二步:读取该地址所包含的值
执行一次表查找,获取解码需要的操作数
第三步:将汇编语言格式化
4.反汇编的最主要的两种算法
4.1 线性扫描反汇编
每一条指令的长度都被计算出来,并用来确定下一条将要反汇编的指令的位置。
这个算法可以完全覆盖程序的所有代码段。
缺点是没有考虑代码中可能混有数据。
例如:线性扫描反汇编器扫描一个 包含了switch语句的函数
反汇编执行了2
4.2递归下降反汇编
首先介绍一下递归下降算法: