一直不懂逆向,最近剛好不忙,於是學習逆向,用來做筆記,順便和大家分享交流.
參考書籍《iad pro權威指南》
工具:petools:
etools 是另一款很好的pe檔案編輯工具,以前曾發過 v1.5.400.2003 的漢化版,今天也來更新一下:)。peditor 功能有轉存程序、檢測可執行檔案加殼型別、在softice中插入中斷、編輯pe檔案的匯入表、節表、重建校驗和、重建程式等,其自帶了乙個簽名管理程式可自己新增更多的殼型別來讓 petools 識別。petools 可支援外掛程式,並帶有外掛程式編寫示例,你也可以自己開發需要的外掛程式
peid:
查殼工具,能檢測大多數編譯語言.、病毒和加密的殼,它主要利用查特徵串搜尋來完成識別工作的,各種開發語言都有固定的啟動**部分,利用這點可識別是何種語言編譯的,被加殼程式處理過的程式,在殼裡會留下相關加殼軟體的資訊,利用這點就可識別是保種殼所加密的,它提供了乙個擴充套件介面檔案userdb.txt ,用啟可以自定義一些特徵碼,這樣可以識別出新的檔案型別,簽名的製作可以用外掛程式add signature來完成
命令:nm : 檢視檔案中的符號,
例如sqlmap中提供的udf提權so檔案,可以檢視的到一些全域性函式和區域性函式,以及一些引用和為引用的變數等。
nm(選項)(引數)
options:
-a:每個符號前顯示檔名; -d:顯示動態符號; -g:僅顯示外部符號; -r:反序顯示符號表。
顯示結果說明:
u,未定義符號,通常為外部引用
t,在文字部分定義的符號,通常為函式名稱
t,在文字部分定義的區域性符號,在c程式中,這個符號同等於乙個靜態函式
d,已初始化的資料值
c,未初始化的資料值
詳情可以檢視 man nm
ldd:
ldd是list, dynamic, dependencies的縮寫, 意思是, 列出動態庫依賴關係.
網上已經有很多詳細的,就不在此累贅了。詳細可檢視 man ldd
objdump:
objdump命令是linux下的反彙編目標檔案或者可執行檔案的命令,功能十分想打,
推薦閱讀:
strings:
提取二進位制中的字串
IDA Pro權威指南 視窗
列舉名稱。f 常規函式,ida認為不屬於庫函式 l 庫函式 i 匯入的共享庫的函式的名稱 g 命名 d 資料 a 字串資料 顯示程式中的字串。可以自行設定顯示什麼。列出檔案入口點。列出二進位制檔案匯入的所有函式。顯示ida認為的檔案所使用的結構體。顯示段的相關屬性。段視窗與objdump h rea...
IDA Pro權威指南 IDA入門
選擇載入器,一般預設就可。載入檔案時,有4個資料可檔案。id0二叉樹形式資料庫。id1檔案包含描述每個程式位元組的標記。nam 與name視窗有關的索引。til 儲存與乙個給定資料庫的本地型別定義有關的資訊。關閉檔案時,don t pack 不建立idb pack database store 建立...
01 IDA Pro權威指南讀書筆記
使用反彙編工具是為了在沒有源 的情況下進行促進隊程式的理解。需要進行反彙編的常見情況下包括一下集中情況。分析惡意軟體 通常情況下,遇到惡意軟體時,並不能獲取其源 除非時基於指令碼的惡意 即使是基於指令碼的惡意 通常情況下也會被混淆 在缺乏源 的情況下,要了解惡意 的執行機制,通常使用動態分析和靜態分...