讨论：大家谈谈提升逆向工程效率的工具和方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

讨论：大家谈谈提升逆向工程效率的工具和方法

发表于: 2004-9-8 08:41 24327

讨论：大家谈谈提升逆向工程效率的工具和方法

hume

2004-9-8 08:41

24327

多多益善。
现在的反编译技术还有很多值得改进的地方，可以在高级语言逆向还原方面做一些傻瓜化的项目，造福逆向工程者

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・2

免费・7

支持

最新回复 (33) 1 2 ▶
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 2 楼深了 2004-9-8 11:36 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 3 楼回头我也考虑考虑.不过我一般做动态调试.不喜欢静态反编译. 并且高级语言的反编译,我感觉IDA做的已经到头了,把它里面的功能用完就可有不少收获. java,vb都可以算解释性语言,反编译做得不错.照这样的状况来看,.net里面也应该有发展.如果搂主真想有所突破,我想应该趁早着手这一块.毕竟.net是方向,也是较新的领域. 2004-9-8 12:30 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 4 楼 .net的反编译做得也不错，我们可以考虑在其基础上进一步增强，常用的一些IDA插件比如asm－》c的，就很有发展的余地，加入一些自动化的数据流分析和类似编译器采用的技术，应该可以极大地简化反汇编工作，另外IDA的新版本也开始加强调试功能了，虽然还没那么好用，但这是动态和静态分析完美结合的一个信号。ollydbg能做的，在IDA里面其实更容易实现。大家有什么想法和心得？不如一起讨论讨论 2004-9-8 12:38 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 5 楼其实我们做的很多跟踪分析工作完全是可以更简单些的，整天看汇编代码效率有时候确实很低，这就象用汇编写大规模程序一样，虽然能够做到并且执行效率很高，但开发周期太长。同样看反汇编代码分析在遇到复杂算法的时候就很费劲了，其实我们关心的是算法实现，而不是寄存器转换的细节。其实逆向工程是个很广的领域，不局限于看反汇编代码，还包括社交工程，心理分析等。大家有什么心得不妨讨论一下 2004-9-8 12:46 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 6 楼的确深了，够人研究的。 2004-9-8 14:19 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 7 楼不懂 2004-9-8 15:24 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 8 楼既然搂主把问题摊开了.我就想说几句我感觉静态调试最后终归需要动态验证.我现在做动态验证的时候,对于大一点的函数,是这样做的: 1. 取出纸,笔 2. 列出我感觉重要的参数(地址,或者寄存器) 3. 开始调试,把这些参数的变化一一记录下来; 我感觉,这一工作可以由反编译器给我做.由我指定一些重要的变量,调试器把他们列出来,然后就省得我一一纪录了. 或许现在的反编译器由这个功能,但是我浅陋不知道.哪位能改进或者知道相关软件,还多请麻烦以后有空再好好考虑,现在睡了一天,头脑乱的很 2004-9-8 19:01 0
kuangtudazuo 雪币： 241 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 1 关注私信	kuangtudazuo 1 9 楼应该是这样做。 2004-9-8 19:06 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 10 楼 hume老兄,是不是老前辈？老兄还是先说说你的认识吧 2004-9-8 20:58 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 11 楼简单就反汇编来说我谈点经验：我分析一般用IDA和sice以及ollydbg，调试器sice现在还是不可少的，尤其应当学会远程调试。 1.纸和笔记录我基本不用，因为IDA有comment的能力，完全可以当做纸和笔，尽量使用sice远程调试（没有硬件就和VMWARE联用），这样在分析的同时不会妨碍你在IDA中记录的能力。 2.图形化流程分析，不知道流程图这个功能大家用的多不多，有时候用图形分析流程还是很有用的。 3.一些插件，比如转换为c格式的插件，虽然做的不好，但也能帮点忙。还比如sobek这个数据流分析插件，可以减少分页回溯查看变量的劳动量。大家补充。。。 2004-9-9 09:36 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 12 楼那看看哪位有空写一个了 2004-9-9 09:37 编辑删除 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 13 楼大家随便谈谈即可，关键是启发思路吗 2004-9-9 09:42 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 14 楼大侠说的甚是.关键是像偶这种的,远程调试没条件,VM跑起来机器很慢阿. 希望温大侠可以快些出东西,俺们也受惠阿. 多谢. 2004-9-9 11:16 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 15 楼提升逆向工程效率的工具和方法；我的鄙见：应该具备是很高超的编程经验，这是最起码的・・・工具只是工具・没有过任何编程功底，如何更有效率的去逆向・・（如果你有了，答案给有呼一声）；大家不如静下了，搞深程序！！！ 2004-9-9 17:03 0
乱乱雪币： 150 活跃值： (116) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 92 粉丝 1 关注私信	乱乱 1 16 楼 qiweixue说的很对啊,怎么逆向工程都得有一定的基础高级语言的,汇编的.才能够知道怎么做. 工具只是辅助,辅助分析能够将精力集中的重点部分 2004-9-10 08:54 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 17 楼最初由 qiweixue 发布提升逆向工程效率的工具和方法；我的鄙见：应该具备是很高超的编程经验，这是最起码的・・・工具只是工具・没有过任何编程功底，如何更有效率的去逆向・・（如果你有了，答案给有呼一声）；大家不如静下了，搞深程序！！！基础当然是要有的，但现在说的是在基础上提高效率。好比说我们都会汇编语言，但真正做一个大软件时除了有些地方不得不用汇编外，大部分代码都要用高级语言实现吧。如果只是简单的运算比如把ADD EAX，3变成eax+=3的形式倒比较容易办到，要再深入一些就比较困难了。。。要求反汇编程序具有一定的“智能” 2004-9-10 10:57 0
orchid88 雪币： 84 活跃值： (710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 18 楼我认为要充分发挥现有逆向工具的效能。IDA是个非常优秀的反编译软件，充分利用他和他的各种插件以及idc的功能，再加上od或sice出色的动态调试功能，逆向工作的效率可以事半功倍。 2004-9-10 13:04 0
guoxian 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	guoxian 19 楼我也说一下自己的鄙见吧! 我觉得傻瓜化首先应该从人性化考虑!就应该编写一个程序与人"兼容"反编程序只要反回正确的原始低级代码就够啦!接下来呢,可以组织一帮人来编一个咱们中国人自己的反编傻瓜项目!当然这个只是理想化的想法! 2004-9-10 14:07 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 20 楼这一贴应该致顶才对。提高逆向效率永远是我们CRACKER的最新话题才对啊。 2004-12-8 15:08 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 21 楼最初由采臣・宁发布这一贴应该致顶才对。提高逆向效率永远是我们CRACKER的最新话题才对啊。曾经置顶过的。 2004-12-8 15:15 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 22 楼可能是我们没有到这一层次吧。人的心理就是这样对于自己不了解的永远就不会关心。 2004-12-8 15:16 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 23 楼不妨联系联系哲学去思考:p 2005-1-16 15:26 0
七夜雪币： 222 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 57 粉丝 1 关注私信	七夜 1 24 楼不如大家研究一下人工智能吧 2005-1-27 21:44 0
nainaigb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	nainaigb 25 楼我还以为是个学术论坛呢！ 2005-2-4 21:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hume

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 2 楼深了 2004-9-8 11:36 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 3 楼回头我也考虑考虑.不过我一般做动态调试.不喜欢静态反编译. 并且高级语言的反编译,我感觉IDA做的已经到头了,把它里面的功能用完就可有不少收获. java,vb都可以算解释性语言,反编译做得不错.照这样的状况来看,.net里面也应该有发展.如果搂主真想有所突破,我想应该趁早着手这一块.毕竟.net是方向,也是较新的领域. 2004-9-8 12:30 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 4 楼 .net的反编译做得也不错，我们可以考虑在其基础上进一步增强，常用的一些IDA插件比如asm－》c的，就很有发展的余地，加入一些自动化的数据流分析和类似编译器采用的技术，应该可以极大地简化反汇编工作，另外IDA的新版本也开始加强调试功能了，虽然还没那么好用，但这是动态和静态分析完美结合的一个信号。ollydbg能做的，在IDA里面其实更容易实现。大家有什么想法和心得？不如一起讨论讨论 2004-9-8 12:38 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 5 楼其实我们做的很多跟踪分析工作完全是可以更简单些的，整天看汇编代码效率有时候确实很低，这就象用汇编写大规模程序一样，虽然能够做到并且执行效率很高，但开发周期太长。同样看反汇编代码分析在遇到复杂算法的时候就很费劲了，其实我们关心的是算法实现，而不是寄存器转换的细节。其实逆向工程是个很广的领域，不局限于看反汇编代码，还包括社交工程，心理分析等。大家有什么心得不妨讨论一下 2004-9-8 12:46 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 6 楼的确深了，够人研究的。 2004-9-8 14:19 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 7 楼不懂 2004-9-8 15:24 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 8 楼既然搂主把问题摊开了.我就想说几句我感觉静态调试最后终归需要动态验证.我现在做动态验证的时候,对于大一点的函数,是这样做的: 1. 取出纸,笔 2. 列出我感觉重要的参数(地址,或者寄存器) 3. 开始调试,把这些参数的变化一一记录下来; 我感觉,这一工作可以由反编译器给我做.由我指定一些重要的变量,调试器把他们列出来,然后就省得我一一纪录了. 或许现在的反编译器由这个功能,但是我浅陋不知道.哪位能改进或者知道相关软件,还多请麻烦以后有空再好好考虑,现在睡了一天,头脑乱的很 2004-9-8 19:01 0
kuangtudazuo 雪币： 241 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 1 关注私信	kuangtudazuo 1 9 楼应该是这样做。 2004-9-8 19:06 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 10 楼 hume老兄,是不是老前辈？老兄还是先说说你的认识吧 2004-9-8 20:58 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 11 楼简单就反汇编来说我谈点经验：我分析一般用IDA和sice以及ollydbg，调试器sice现在还是不可少的，尤其应当学会远程调试。 1.纸和笔记录我基本不用，因为IDA有comment的能力，完全可以当做纸和笔，尽量使用sice远程调试（没有硬件就和VMWARE联用），这样在分析的同时不会妨碍你在IDA中记录的能力。 2.图形化流程分析，不知道流程图这个功能大家用的多不多，有时候用图形分析流程还是很有用的。 3.一些插件，比如转换为c格式的插件，虽然做的不好，但也能帮点忙。还比如sobek这个数据流分析插件，可以减少分页回溯查看变量的劳动量。大家补充。。。 2004-9-9 09:36 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 12 楼那看看哪位有空写一个了 2004-9-9 09:37 编辑删除 0
hume 雪币： 1227 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 3 关注私信	hume 13 楼大家随便谈谈即可，关键是启发思路吗 2004-9-9 09:42 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 14 楼大侠说的甚是.关键是像偶这种的,远程调试没条件,VM跑起来机器很慢阿. 希望温大侠可以快些出东西,俺们也受惠阿. 多谢. 2004-9-9 11:16 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 15 楼提升逆向工程效率的工具和方法；我的鄙见：应该具备是很高超的编程经验，这是最起码的・・・工具只是工具・没有过任何编程功底，如何更有效率的去逆向・・（如果你有了，答案给有呼一声）；大家不如静下了，搞深程序！！！ 2004-9-9 17:03 0
乱乱雪币： 150 活跃值： (116) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 92 粉丝 1 关注私信	乱乱 1 16 楼 qiweixue说的很对啊,怎么逆向工程都得有一定的基础高级语言的,汇编的.才能够知道怎么做. 工具只是辅助,辅助分析能够将精力集中的重点部分 2004-9-10 08:54 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 17 楼最初由 qiweixue 发布提升逆向工程效率的工具和方法；我的鄙见：应该具备是很高超的编程经验，这是最起码的・・・工具只是工具・没有过任何编程功底，如何更有效率的去逆向・・（如果你有了，答案给有呼一声）；大家不如静下了，搞深程序！！！基础当然是要有的，但现在说的是在基础上提高效率。好比说我们都会汇编语言，但真正做一个大软件时除了有些地方不得不用汇编外，大部分代码都要用高级语言实现吧。如果只是简单的运算比如把ADD EAX，3变成eax+=3的形式倒比较容易办到，要再深入一些就比较困难了。。。要求反汇编程序具有一定的“智能” 2004-9-10 10:57 0
orchid88 雪币： 84 活跃值： (710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 18 楼我认为要充分发挥现有逆向工具的效能。IDA是个非常优秀的反编译软件，充分利用他和他的各种插件以及idc的功能，再加上od或sice出色的动态调试功能，逆向工作的效率可以事半功倍。 2004-9-10 13:04 0
guoxian 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	guoxian 19 楼我也说一下自己的鄙见吧! 我觉得傻瓜化首先应该从人性化考虑!就应该编写一个程序与人"兼容"反编程序只要反回正确的原始低级代码就够啦!接下来呢,可以组织一帮人来编一个咱们中国人自己的反编傻瓜项目!当然这个只是理想化的想法! 2004-9-10 14:07 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 20 楼这一贴应该致顶才对。提高逆向效率永远是我们CRACKER的最新话题才对啊。 2004-12-8 15:08 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 21 楼最初由采臣・宁发布这一贴应该致顶才对。提高逆向效率永远是我们CRACKER的最新话题才对啊。曾经置顶过的。 2004-12-8 15:15 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 22 楼可能是我们没有到这一层次吧。人的心理就是这样对于自己不了解的永远就不会关心。 2004-12-8 15:16 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 23 楼不妨联系联系哲学去思考:p 2005-1-16 15:26 0
七夜雪币： 222 活跃值： (145) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 57 粉丝 1 关注私信	七夜 1 24 楼不如大家研究一下人工智能吧 2005-1-27 21:44 0
nainaigb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	nainaigb 25 楼我还以为是个学术论坛呢！ 2005-2-4 21:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复