热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

结语|《探索二进制世界:软件安全与逆向分析》读书笔记:深入理解二进制代码的逆向工程方法

篇首语:本文由编程笔记#小编为大家整理,主要介绍了《有趣的二进制:软件安全与逆向分析》读书笔记:通过逆向工程学习如何读懂二进制代码相关的知识,希望对你有一定的参考价值。 目录 前言一、软件分析体验1

篇首语:本文由编程笔记#小编为大家整理,主要介绍了《有趣的二进制:软件安全与逆向分析》读书笔记:通过逆向工程学习如何读懂二进制代码相关的知识,希望对你有一定的参考价值。



目录


  • 前言
  • 一、软件分析体验
    • 1、通过 Process Monitor 的日志来确认程序的行为
    • 2、从注册表访问中能发现些什么
    • 3、小结

  • 二、静态分析体验
    • 1、WinHex 查看文件内容
    • 2、IDA 反汇编

  • 三、动态分析体验
    • 1、 Process Monitor 跟踪
    • 2、OllyDbg 调试

  • 四、基础汇编指令
    • 1、常用汇编指令
    • 2、参数存放在栈中
    • 3、例子

  • 结语


前言

上一篇学完内网之后,打算学习一些逆向相关知识

本篇开始阅读学习《有趣的二进制:软件安全与逆向分析》,本章是通过逆向工程学习如何读懂二进制代码,主要是体验软件分析、静态分析和动态分析(可以理解为怕劝退读者)

作者有句话很有意思:



在编写这本书的过程中,我再一次感到,在不计其数的编程语言中,汇编语言是最‘有趣’的一种


配套资源在:https://github.com/shyujikou/binarybook


一、软件分析体验

首先是一些工具安装:


  • 二进制编辑 WinHex:建议到吾爱破解下载
  • 网络监控 Wireshark:https://www.wireshark.org/
  • 文件和注册表监控 Process Monitor:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
  • 反汇编 IDA:建议到吾爱破解下载
  • 调试器 OllyDbg:建议到吾爱破解下载

本节要用到的是 chap01\\sample_mal\\Release 目录中的 sample_mal.exe 文件


1、通过 Process Monitor 的日志来确认程序的行为

sample_mal.exe 文件运行后,弹出一个内容为“Hello Malware!”的对话框,如下:


Process Monitor 的日志如下:


可以看到 sample_mal.exe 文件连续执行了 CreateFile、WriteFile 和 CloseFile 这几个操作,这些操作加起来的功能相当于在指定文件夹创建并写入一个名为 0.exe 的文件

进入C:\\Users\\ 用户名 \\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup可以看到 0.exe 文件

用 Winhex 与 sample_mal.exe 文件进行对比,发现两个文件完全一致

此外,sample_mal.exe 还在 我的文档 目录下创建了1.exe文件:


2、从注册表访问中能发现些什么

Windows 重启时自动运行的程序可以注册在下列任一注册表的位置:


  • HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  • HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  • HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
  • HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

可以发现注册表里面的确注册了 C:\\Documents and Settings\\XPMUser\\My Documents\\1.exe 这样的内容


3、小结

通过上述,sample_mal.exe 程序会执行以下操作:


  • 修改注册表以便在系统重启时自动运行
  • 将自己复制到“启动”文件夹以便在系统重启时自动运行

因此,我们只要将“启动”文件夹、“我的文档”以及 注册表中新增的内容(文件路径)删除,系统环境就可以完全恢复原状 了


二、静态分析体验

静态分析与动态分析简单定义如下:


  • 静态分析:在不运行目标程序的情况下进行分析
  • 动态分析:在运行目标程序的同时进行分析

静态分析主要包括以下方法:


  • 阅读反汇编代码
  • 提取可执行文件中的字符串,分析使用了哪些单词

这里用到 chap01\\wsample01a\\Release 中的示例程序 wsample01a.exe


1、WinHex 查看文件内容

用 WinHex 打开 wsample01a.exe


可以看到这些内容:


  • 字符串 MESSAGEHello! Windows
  • 文件路径 C:\\Documents and Settings\\XPMUser\\My Documents\\Visual Studio 2010\\Projects\\wsample01a\\Release\\wsample01a.pdb
  • 字符串 KERNEL32.dllMessageBoxW

主要是感受下


2、IDA 反汇编

将 wsample01a.exe 扔进 IDA:

也是感受下

跟源码对比下:


#include
#include
int APIENTRY _tWinMain(
HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPTSTR lpCmdLine,
int nCmdShow)

if(lstrcmp(lpCmdLine, _T("2012")) == 0)
MessageBox(GetActiveWindow(),
_T("Hello! 2012"), _T("MESSAGE"), MB_OK);
else
MessageBox(GetActiveWindow(),
_T("Hello! Windows"), _T("MESSAGE"), MB_OK);

return 0;


三、动态分析体验

动态分析:


  • 在目标程序运行的同时跟踪其行为,主要用调试器来跟踪程序逻辑
  • 获取文件和注册表访问日志
  • 抓取网络包

这里用 chap01\\wsample01b\\Release 中的示例程序 wsample01b.exe


1、 Process Monitor 跟踪

为了跟踪程序,设置 Process Monitor 的过滤规则:


然后可以发现其行为类似于开头的 sample_mal.exe


2、OllyDbg 调试

调试器是一种帮助发现程序问题和 bug 的软件:


  • 断点
  • 单步跳入、跳出
  • 查看寄存器和内存数据


看看 00401000 之后的程序逻辑,发现程序依次调用了 GetModuleFileNameWSHGetFolderPathWlstrcatWCopyFileW 这几个函数

通过设置断点和单步前进可以了解每一步或者说上面每一个函数在做什么

同样与源代码对比:

#include
#include
int APIENTRY _tWinMain(
HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPTSTR lpCmdLine,
int nCmdShow)

if(lstrcmp(lpCmdLine, _T("2012")) == 0)
MessageBox(GetActiveWindow(),
_T("Hello! 2012"), _T("MESSAGE"), MB_OK);
else
MessageBox(GetActiveWindow(),
_T("Hello! Windows"), _T("MESSAGE"), MB_OK);

return 0;


四、基础汇编指令

1、常用汇编指令

常用汇编指令如下:


指令示例含义说明
MOVMOV EAX,ECXEAX = ECX将 ECX 的值存入 EAX
ADDADD EAX,ECXEAX += ECX将 EAX 的值加上 ECX 的值
SUBSUB EAX,ECXEAX -= ECX将 EAX 的值减去 ECX 的值
INCINC EAXEAX++将 EAX 的值加 1
DECDEC EAXEAX–将 EAX 的值减 1
LEALEA EAX, [ECX+4]EAX = ECX+4将 ECX+4 的值存入 EAX
CMPCMP EAX,ECXif(EAX == ECX) ZF=1 elseZF=0对两个值进行比较并根据结果设置 标志若 EAX 与 ECX 相同,则 ZF=1 若 EAX 与 ECX 不同,则 ZF=0
TESTTEST EAX,EAXif(EAX == 0) ZF=1 elseZF=0将值与 0 进行比较并根据结果设置 标志若 EAX 为 0,则 ZF=1 若 EAX 不为 0,则 ZF=0
JE(JZ)JE 04001000if(ZF==1) GOTO 04001000若 ZF 为 1,则跳转到 04001000
JNE(JNZ)JNE 04001000if(ZF==0) GOTO 04001000若 ZF 为 0,则跳转到 04001000
JMPJMP 04001000GOTO 04001000无条件跳转到 04001000
CALLCALL lstrcmpW调用 lstrcmpW
PUSHPUSH 00000001将 00000001 入栈
POPPOP EAX出栈并将获取的值存入 EAX

JNZ 指令和 TEST 指令结合就是条件分支


2、参数存放在栈中

CALL 指令是用来调用子程序的,当我们用汇编语言编写子程序的时候,将返回值存放在 EAX 中,这是一种习惯

参数要通过 PUSH 指令存放在栈中:每当执行 PUSH 指令时,PUSH 的值就会被放入栈中


3、例子

一个 hello world 的汇编如下:

extern MessageBoxA
section .text
global main
main:
push dword 0
push dword title
push dword text
push dword 0
call MessageBoxA
ret
section .data
title: db 'MessageBox', 0
text: db 'Hello World!', 0

结语

主要是体验下几种最常用的逆向工具


推荐阅读
  • 本文详细探讨了HTML表单中GET和POST请求的区别,包括它们的工作原理、数据传输方式、安全性及适用场景。同时,通过实例展示了如何在Servlet中处理这两种请求。 ... [详细]
  • 本文深入探讨了HTTP请求和响应对象的使用,详细介绍了如何通过响应对象向客户端发送数据、处理中文乱码问题以及常见的HTTP状态码。此外,还涵盖了文件下载、请求重定向、请求转发等高级功能。 ... [详细]
  • Struts与Spring框架的集成指南
    本文详细介绍了如何将Struts和Spring两个流行的Java Web开发框架进行整合,涵盖从环境配置到代码实现的具体步骤。 ... [详细]
  • 本文详细介绍超文本标记语言(HTML)的基本概念与语法结构。HTML是构建网页的核心语言,通过标记标签描述页面内容,帮助开发者创建结构化、语义化的Web页面。 ... [详细]
  • 哈密顿回路问题旨在寻找一个简单回路,该回路包含图中的每个顶点。本文将介绍如何判断给定的路径是否构成哈密顿回路。 ... [详细]
  • C语言基础入门:7个经典小程序助你快速掌握编程技巧
    本文精选了7个经典的C语言小程序,旨在帮助初学者快速掌握编程基础。通过这些程序的实践,你将更深入地理解C语言的核心概念和语法结构。 ... [详细]
  • PHP 过滤器详解
    本文深入探讨了 PHP 中的过滤器机制,包括常见的 $_SERVER 变量、filter_has_var() 函数、filter_id() 函数、filter_input() 函数及其数组形式、filter_list() 函数以及 filter_var() 和其数组形式。同时,详细介绍了各种过滤器的用途和用法。 ... [详细]
  • 本文详细介绍了 iBatis.NET 中的 Iterate 元素,它用于遍历集合并重复生成每个项目的主体内容。通过该元素,可以实现类似于 foreach 的功能,尽管 iBatis.NET 并未直接提供 foreach 标签。 ... [详细]
  • 目录一、salt-job管理#job存放数据目录#缓存时间设置#Others二、returns模块配置job数据入库#配置returns返回值信息#mysql安全设置#创建模块相关 ... [详细]
  • 本文详细介绍了优化DB2数据库性能的多种方法,涵盖统计信息更新、缓冲池调整、日志缓冲区配置、应用程序堆大小设置、排序堆参数调整、代理程序管理、锁机制优化、活动应用程序限制、页清除程序配置、I/O服务器数量设定以及编入组提交数调整等方面。通过这些技术手段,可以显著提升数据库的运行效率和响应速度。 ... [详细]
  • 本文详细介绍了在不同操作系统中查找和设置网卡的方法,涵盖了Windows系统的具体步骤,并提供了关于网卡位置、无线网络设置及常见问题的解答。 ... [详细]
  • 深入解析Serverless架构模式
    本文将详细介绍Serverless架构模式的核心概念、工作原理及其优势。通过对比传统架构,探讨Serverless如何简化应用开发与运维流程,并介绍当前主流的Serverless平台。 ... [详细]
  • 本文详细介绍了一种通过MySQL弱口令漏洞在Windows操作系统上获取SYSTEM权限的方法。该方法涉及使用自定义UDF DLL文件来执行任意命令,从而实现对远程服务器的完全控制。 ... [详细]
  • KMP算法是一种高效的字符串模式匹配算法,能够在不进行回溯的情况下完成匹配,其时间复杂度为O(m+n),其中m和n分别为文本串和模式串的长度。本文将详细介绍KMP算法的工作原理,并提供C语言实现。 ... [详细]
  • 本文介绍了日文游戏的汉化过程及技巧,包括如何利用现有的资源和工具,以及民间汉化组的贡献。 ... [详细]
author-avatar
我爱你2602912303
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有