[翻译]在Windows平台下的使用radare2进行调试
发表于:
2018-3-28 13:54
15231
[翻译]在Windows平台下的使用radare2进行调试
查看系统属性和编辑环境变量
[Environment]::SetEnvironmentVariable("Path", $env:Path + ";C:\Users\<username>\AppData\Local\Programs\radare2", [EnvironmentVariableTarget]::Machine)
radare2.exe -d IgniteMe.exe [0x77200cc0]>
call 0x401020
i^4 = m 0x02^m = o \f^o = c M^c = . @^. = n 0x01^n = o B^o = - H^- = e 0x17^e = r 0x13^r = a \r^a = l \n^l = f &^f = @ s^@ = 3 G^3 = t E^t = 1^1 = n \t^n = g V^g = 1 n^1 = o^ = 0 D^0 = t +^t = 0x17^ = H /^H = g 0x12^g = u E^u = 0 ^^0 = n ]^n = 3 l^3 = +^ = t D^t = 0 x^0 = H 0x17^H = *^ = u E^u = 0 I^0 = y &^y = \r^_ = R
首先,我想说我是一个Linux迷。 我一直在它上面进行开发。 它的命令行令人惊叹,并且非常精简计算机科学相关的任务。 虽然我有这种感觉,但有些人并不这样认为更喜欢使用Windows环境。 所以我想在本文中展示两件事,如何安装和使用radare2 for Windows,以及如何使用radare2调试应用程序。
在Windows上安装radare2,首先访问他们的网站(https://rada.re/r/),点击页面顶部的“下载2.3.0 for Windows”链接。 然后你只需运行安装程序,radare2就安装在你的系统上了! 问题是,所有安装程序都将radare2.exe以及其他工具放在C:/ users / username / AppData目录中。 我必须从命令行将目录切换到该文件夹才能使用可执行文件。 为了从命令行的任何位置访问该文件,必须将该目录添加到$ PATH环境变量中。 这计算机用来查找可以从系统的任何位置运行的命令和应用程序的变量。
要设置你的$ PATH变量,你可以通过以下两种方法之一来完成。 您可以通过转到系统属性 - >高级 - >环境变量来使用Windows GUI进行更改,单击路径变量并单击编辑。 然后你可以添加你的radare2文件的目录。
你也可以变身超级1337,从命令行执行它。 方法是以管理员身份打开PowerShell并使用该命令
这条命令可以让你每次重新启动计算机时都不必将文件夹添加到你的$ PATH变量中。
现在,如果您运行radare2.exe命令,您应该看到radare2的帮助信息。 这意味着您已经在系统上成功安装了radare2。
现在我们已经安装了Radare2,可以继续我们的调试教程。 如果你不知道调试是什么,它可以说是是运行一个程序并暂停每个汇编指令。 它可以让你动态地看到程序执行发生了什么,并且通常比静态分析更容易。 但在分析恶意软件时,静态分析比较安全,因为该文件实际上并未运行。 如果你想调试恶意软件,因为它是分析过程的重要组成部分,那么你应该在虚拟机中完成它。
我将演示如何解决Flare-On 4 CTF的挑战2。 Flare-On挑战是由FireEye主办的年度逆向工程竞赛。 我强烈建议任何对逆向工程感兴趣的人至少尝试一下,因为你可以从中学到很多东西。 您可以从他们的网站(https://www.fireeye.com/blog/threat-research/2017/10/2017-flare-on-challenge-solutions.html)上下载去年挑战中的二进制文件。
我们应该开始运行该程序,当启动程序时,我们看到它会提示我们输入密码。如果我们试图猜测密码,则会显示一条消息,告诉我们我们错了。不是太复杂,我们只需要找出密码是什么。
我将通过rabin2运行二进制文件来提取基本信息。 我在第一篇文章(https://medium.com/@jacob16682/reverse-engineering-using-radare2-588775ea38d5)中回顾了如何使用radare2。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2019-1-24 14:46
被admin编辑
,原因: