博文
逆向工具总结
|
在实验室找到了《secrets of reversing engineering》的中文版,看着快好多,呵呵!其中第四章是关于逆向工具总结的,看后感觉对逆向工具有了更清楚的认识。
逆向分析的方法可分为静态和动态两种,这本书中是叫做离线代码分析和现场代码分析,而用于逆向分析的工具大致分为:反汇编工具(静态反汇编)、调试工具(动态反汇编)、反编译器、系统监控工具等。
IDA pro是作者推荐的逆向分析工具,它擅长的是静态反汇编,界面友好,同时它也是一款用户模式调试器,但是需要付费购买。
调试工具又分为用户模式调试器(又叫用户级调试器)和内核模式调试器(又叫系统级调试器),用户模式调试器只能用于跟踪调试用户应用程序,对于操作系统、驱动程序等就无能为力了;内核模式调试器则可以将整个操作系统挂起,用于对操作系统扩展或设备驱动程序的开发。(1)用户模式调试器中作者推荐的是Ollydbg,它免费、界面友好,且功能强大;(2)内核模式调试器中softICE是比较流行的一款(也可用于用户模式的调试功能),它允许本地内核调试,也就是说它可以在只有一个系统的情况下进行内核调试,但这样,如果一不小心就会使整个系统崩溃;(3)可以在虚拟机上进行内核调试,内核调试会使操作系统运行不稳定,所以不建议在主计算机上使用内核调试器,而对于没有能力购买另一台pc机的人员来说,用带有虚拟机的计算机是最好的选择,另外,有些虚拟机支持非持久性硬盘,即系统关机或重启时,这类硬盘会放弃写到上面的所有数据,这非常适用于对付那些试图破坏硬盘或感染其他文件的恶意软件。
反编译器是逆向工作人员梦想的工具,但是要从二进制代码恢复出理想的高级表示形式还不可能,希望这种情况在今后会有所改进。
系统监控工具,不用查看代码,通过观察应用程序和操作系统之间存在的各种I/O通道,比如文件访问监控工具可用于监控应用程序中的文件操作。作者推荐的网站www.sysinternals.com,上面有很多免费的系统监控个噢凝聚,可用来监控系统的各个方面和不同层次。
https://blog.sciencenet.cn/blog-544280-449615.html
上一篇:刚刚开完题回来,郁闷~
下一篇:流敏感/流不敏感和上下文敏感/上下文不敏感
