导航

• 介绍一些其他反汇编工具，这一章会很简略

• 确定文件类型，识别常见字符串，搜索某些文件类型特有数值标签（幻数），，MS_DOS在可执行文件头标签是MZ，Java和.class的幻术为十六进制数0xcafebabe
• 能够识别大量文件，由幻术文件(magic file)文件提供规则，文件位置/usr/share/file/magic /usr/share/misc/magic和/etc/magic
• Cygwin，提供linux风格命令shell和相关程序，包括编译器gcc/gc++，许多Linux程序可以基于Cygwin的环境运行起来。
• file能够识别不同ELF二进制文件，还提供有关二进制文件如何连接是否去符号信息
• 编译中会留下符号，去符号文件未必会更小，但是功能依然不变。
• 如果碰巧包含了其他某种文件格式的标记，会使file误判
• 逆向中不要完全相信任何工具所提供的结果，除非得到其他几款工具和手动分析的确认。

• 分析windows中正在运行的可执行文件工具
• 进程内存映像转储， 确定哪个编译器构建的。提供分析磁盘文件，查看PE文件头字段，修改文件头。
• 二进制模糊，21章模糊工具与技术会讲到（填坑）

• 识别PE二进制文件使用的编译器，确定模糊。与PETools类似

• 需要更高级的工具提取详尽的信息

• 检查中间目标文件（.o后缀），默认输出结果是在这个文件中声明的任何函数和全局变量的名称。
• U 未定义符号
• T 文本部分定义的符号，通常为函数
• t 文本部分定义的局部符号，在C中等同于一个静态函数
• D 已初始化的数据值
• C 为初始化的数据值
• 参考nm手册

• 区分连接了哪些动态静态库。12章补
• Linux和BSD也提供ldd，其他平台的工具(OSX)otool(linux)
• visual studio dumpbin/dependents

• 节头部
• 专用节头部
• 调试信息
• 符号信息
• 功能多样

• OSX下类似objdump

• 显示大量与windowsPE文件有关信息

• 针对c++重载函数的反汇编

• strings(IDA貌似也有)
• 仅仅扫描可加载的、经初始化的部分，使用-a可以强制扫描整个文件
• 不会指出字符串位置，加-t可以显示偏移量信息
• 使用了其他字符集使用-e可搜索更广泛。

• 很多工具都可以生成死代码清单的反汇编代码，无法处理任意形式的二进制数据块
• 从用户指定的偏移量开始反汇编过程的工具
  ndisasm和diStorm
• 流式反汇编

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)