-
-
[分享]《加密与解密(第三版)》学习指引(第三章)静态分析技术
-
发表于: 2008-8-23 21:03
-
知识就像一个圆,知道的越多,不知道的也越多.如果对于初学者来说IDA有什么困难的地方,那就是它的默认界面,按钮太多,给人一种很复杂的感觉。
点一下上图中的Main。恩,现在简单多了。一个软件可以流行起来,绝对不是因为它的高深,而是简单易用。如果你只想给人一种很专业的感觉, OD就足够了,如果你想把事情变得简单。那么请往下看。
首先让我们来回顾各小节隐藏的信息,我以为猜测每个功能存在的理由,是一件有趣的事。
3.2.5交叉参考: 程序各部分存在联系,而只要定位到其中一部分,便可以顺藤摸瓜找到关键代码.
3.2.6参考重命名、3.2.7标签用法:记录分析结果,备忘之用
3.2.8 进制的转换:为满足不同人理解数字的习惯服务。
3.2.9代码和数据转换、3.2.10字符串:现在,即使IDA不能很好处理,我们也可以自己处理了。
3.2.11数组、3.2.12结构体、3.2.13枚举类型、3.2.14堆栈变量和3.2.16 FLIRT:程序由高级语言编译而来,自然保留着某种高级语言的特性。更细致的分析记录功能,更可读的汇编代码。
3.2.15 IDC脚本:可编程的,自动完成任务的接口。更高的自由度,使自动解决重复劳动变成可能
更细致的备忘功能,意味着可以应付耗时更长的程序分析任务。例如你希望得到杀软客户端的反病毒技术细节,IDA会是你最好的选择。
更自由的交互功能,意味着用户可以完成更复杂的分析任务。例如你希望得到某网游保护系统的技术细节,IDA会是你最好的选择。
1. 使用PEID或FILEINFO识别出程序所使用的高级语言
2. 按照3.2.16 FLIRT的介绍,选择对应的高级语言函数识别库
3. 按照3.4.2逆向工程初步中介绍的方法使用3.2.5交叉参考功能
4. 找到关键代码之后尝试使用3.2.17介绍的Hex-Rays Decompiler,通过F5取得更易于阅读的源代码
5. 为了应付复杂的情况,可能需要3.2.9代码和数据转换、3.2.10字符串,甚至自由度更高的3.2.15 IDC脚本
6. 通过3.2.6参考重命名、3.2.7标签的用法、3.2.11数组、3.2.12结构体和3.2.13枚据类型,记录分析结果,作备忘之用。
7. 使用3.3可执行文件的修改介绍的方法完成任务
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
支持下笨笨熊熬夜写教程
|
|
|
|
|
|
|
|
|
很多帖子里都能感觉到楼主说的话很有哲理
|
|
|
|
|
|
|
|
|
|
|
|
感谢楼主的总结,收藏
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
http://bbs.pediy.com/showthread.php?t=31023
IDA相关文章的翻译主题集合 中的译文都打不开,好像很久了,还没整理好吗 ? 要学会一样东西,就是要去用它,记得以前第一次见到的时候,无法入手,后来基础好了些,有点感觉了,但还是被 OD 占据了我所有的时间,到现在,我几乎什么东西都用 IDA 打开看看再说 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
