軟件逆向分析介紹

軟件逆向分析介紹第一頁，共十七頁，編輯于2023年，星期三目錄軟件逆向工程的概念軟件逆向工程的應(yīng)用軟件逆向分析的一般流程軟件逆向分析的發(fā)展現(xiàn)狀實(shí)際工作中相關(guān)的逆向分析第二頁，共十七頁，編輯于2023年，星期三軟件逆向工程的概念正向工程解決了功能的實(shí)現(xiàn)，說明了哪些功能需要增加和刪除；逆向工程解決了程序理解的問題；再工程改變了系統(tǒng)的功能和方向，最具根本和深遠(yuǎn)影響的擴(kuò)展（再工程除了正向和逆向的分析，還有重構(gòu)的問題，它是在抽象的層次上改變表示形式，改變了系統(tǒng)，但不改變功能）。抽象邏輯設(shè)計具體物理實(shí)現(xiàn)正向工程(ForwardEngineering)逆向工程(ReverseEngineering)再工程(Reengineering)第三頁，共十七頁，編輯于2023年，星期三軟件逆向工程的概念逆向工程

從任何人造的東西中提取知識或者設(shè)計規(guī)劃的過程。

說明：逆向工程的概念早在計算機(jī)或者說現(xiàn)代技術(shù)出現(xiàn)之前就已經(jīng)存在。因此逆向工程的范圍也不止計算機(jī)領(lǐng)域，還包括科學(xué)研究和工業(yè)制造等。計算機(jī)領(lǐng)域的逆向工程逆向分析硬件逆向軟件逆向系統(tǒng)級逆向代碼級逆向大范圍的分析觀察，整體把握程序二進(jìn)制碼中提取設(shè)計理念和算法第四頁，共十七頁，編輯于2023年，星期三軟件逆向工程的概念軟件逆向工程高級語言程序中間語言程序具體目標(biāo)代碼編譯、鏈接exelibdllsys反編譯匯編語言程序反匯編編譯和反編譯不一定要生成匯編代碼，一般生成某種設(shè)計好的中間語言。但在反編譯的二進(jìn)制解碼過程中，首先會生成一種類匯編或匯編代碼，因此二進(jìn)制解碼也可稱為反匯編，并且反編譯的過程中中間代碼也有很多級別，類匯編或匯編代碼只是低級中間語言。編譯器或反編譯器作詞法和語法分析第五頁，共十七頁，編輯于2023年，星期三軟件逆向工程的應(yīng)用幫助理解交互協(xié)同工作算法的理解學(xué)習(xí)代碼檢查比較代碼查找惡意軟件查找軟件漏洞查找軟件BUG代碼編譯平臺上優(yōu)化平臺間移植修復(fù)BUG添加新的特性代碼恢復(fù)Atari和Nintendo游戲開發(fā)兼容根據(jù)算法特征進(jìn)行（主要密碼算法）比較程序的相似性漏洞的利用和挖掘（還需結(jié)合軟件調(diào)試技術(shù)）分析理解目標(biāo)代碼，學(xué)習(xí)吸收別人的技術(shù)思路，并向更深層次發(fā)展在逆向分析得到的代碼高級抽象表示基礎(chǔ)上進(jìn)行正向工程第六頁，共十七頁，編輯于2023年，星期三軟件逆向工程的應(yīng)用實(shí)際工作重要應(yīng)用——反匯編漏洞挖掘和利用

對于操作系統(tǒng)和應(yīng)用軟件，漏洞的挖掘和利用，是主動攻擊的重要手段，一旦成功效果明顯，應(yīng)用起來也比較廣泛，難度工作量較大，現(xiàn)階段的一般研究方法是在反匯編分析的基礎(chǔ)上，結(jié)合動態(tài)跟蹤、調(diào)試技術(shù)來進(jìn)行。Rootkit的深入 RootkitVSHIPS（主機(jī)入侵檢測）：勝負(fù)取決于誰做得更底層，誰知道更多沒有公開的底層內(nèi)容，這需要在反匯編的基礎(chǔ)上進(jìn)行內(nèi)核的調(diào)試，探索底層未知的部分，網(wǎng)上發(fā)表的都是過時的或者不是非常重要的“點(diǎn)撥”。原意是根權(quán)限工具，而實(shí)際中常指使用了Rootkit技術(shù)的病毒、木馬，他與傳統(tǒng)木馬（R3）的不同在于：通過加載一個驅(qū)動或者其它手段，使部分代碼或者全部代碼都在內(nèi)核(R0)中進(jìn)行熟練的匯編語言基礎(chǔ)熟練掌握常用反匯編調(diào)試工具的使用熟練掌握相關(guān)操作系統(tǒng)的知識及調(diào)試技巧《軟件調(diào)試》，張銀奎，電子工業(yè)出版社《ROOTKITS—Windows內(nèi)核的安全防護(hù)》,Butler,J/Hoglund,G,清華大學(xué)出版社《ReverseEngineeringCodewithIDAPro》第七頁，共十七頁，編輯于2023年，星期三軟件逆向工程的應(yīng)用實(shí)際工作重要應(yīng)用——反匯編（續(xù)）代碼恢復(fù)理解

分析有價值的二進(jìn)制程序，獲取并理解其（關(guān)鍵）功能結(jié)構(gòu)，提高自己的技術(shù)水平，擴(kuò)展學(xué)習(xí)、獲取技術(shù)的渠道，擺脫自身研究的不足。算法的識別

利用（密碼）算法在匯編級別的特征，進(jìn)行相關(guān)的算法識別；當(dāng)然也有在抽象語言級別上進(jìn)行的（現(xiàn)階段研究不太成熟，非主要手段）?？赡苡行r候還需要脫殼方面的技術(shù)第八頁，共十七頁，編輯于2023年，星期三軟件逆向分析的一般流程解碼/反匯編(Decode/Disassemble)目標(biāo)二進(jìn)制代碼中間語言翻譯(IntermediaLanguageTranslate)數(shù)據(jù)流分析(DataFlowAnalysis)控制流分析(ControlFlowAnalysis)其它分析和優(yōu)化(Others)高級抽象代碼匯編/類匯編代碼各級中間語言第九頁，共十七頁，編輯于2023年，星期三軟件逆向分析的發(fā)展現(xiàn)狀根據(jù)應(yīng)用用途大致分為反匯編核反編譯兩個發(fā)展方向反匯編IDA全名(IDAProDisassemblerandDebugger)，DataRescue公司的強(qiáng)大專業(yè)反匯編調(diào)試軟件；最好的靜態(tài)反匯編工具，針對80X86架構(gòu)作了許多的優(yōu)化和額外的識別分析（現(xiàn)今分析最為透徹的產(chǎn)品），當(dāng)然也支持其它架構(gòu)的處理器，另外也支持跟蹤調(diào)試。強(qiáng)大的功能擴(kuò)展Processor：擴(kuò)展處理器支持Plug-in：IDA功能擴(kuò)展Loader：支持不同的可執(zhí)行文件支持Debugger：不同平臺和（遠(yuǎn)程）調(diào)試的支持靜態(tài)密碼算法識別有很廣泛應(yīng)用，特別是嵌入式系統(tǒng)的非X86結(jié)構(gòu)研究比較成熟（OpenRCE）第十頁，共十七頁，編輯于2023年，星期三軟件逆向分析的發(fā)展現(xiàn)狀OllyDbg 32位Windows系統(tǒng)環(huán)境下的二進(jìn)制文件分析調(diào)試工具，其重點(diǎn)在于動態(tài)跟蹤分析二進(jìn)制代碼，但由于這些操作都是在目標(biāo)代碼進(jìn)行反匯編后進(jìn)行，因此也常被作為一款反匯編工具使用。D32Aam

國產(chǎn)的針對Windows平臺下PE格式文件的優(yōu)秀反匯編器，其提供快速的靜態(tài)反匯編和16進(jìn)制文件編輯功能，另外還有一些便利的內(nèi)存操作和修改功能。其它開源反匯編引擎靜態(tài)反匯編：IDA最全面強(qiáng)大；C32Asm比較輕快；第十一頁，共十七頁，編輯于2023年，星期三軟件逆向分析的發(fā)展現(xiàn)狀反編譯dcc/UQBT/Boomerangdcc：CristinaCifuentes在澳大利亞昆士蘭大學(xué)博士論文中的反編譯原型系統(tǒng)，作為從DOS到C反編譯EXE文件的先驅(qū)代表，主要通過傳統(tǒng)編譯優(yōu)化技術(shù)和圖論來執(zhí)行相關(guān)分析操作，1994年停止發(fā)展更新，有許多的局限，只是概念上的證明程序。UQBT：主要作者CristinaCifuentes，其作為一個通用的二進(jìn)制翻譯框架，輸入的二進(jìn)制代碼通過逆向分析產(chǎn)生高級的C代碼，再通過普通的C編譯器編譯和優(yōu)化，最終生成目標(biāo)平臺上對應(yīng)代碼。UQBT目標(biāo)識二進(jìn)制翻譯，但其框架中前端技術(shù)可供逆向分析借鑒使用。Boomerang主旨為通過開源社區(qū)發(fā)展一個通用的反編譯器。其重用了dcc和UQBT中的相關(guān)技術(shù)，并成為新代碼逆向研究的主題，不過其也存在不足。現(xiàn)研究的是動態(tài)二進(jìn)制翻譯——UQDBT第十二頁，共十七頁，編輯于2023年，星期三軟件逆向分析的發(fā)展現(xiàn)狀CodeSurfer和CodeSufer/x86CodeSurfer：GRAMMATECH公司的一款功能強(qiáng)大的代碼分析、理解、查看工具。CodeSurfer/x86：整合IDAPro和CodeSufer兩大工具，后者在前者反匯編的結(jié)果上進(jìn)行逆向分析，目標(biāo)是Intex86下的可執(zhí)行文件，作用在于幫助用戶進(jìn)行代碼理解和安全性分析等，并被美國空軍、海軍和其它安全部門廣泛采用。第十三頁，共十七頁，編輯于2023年，星期三軟件逆向分析的發(fā)展現(xiàn)狀Hex-rays

反匯編調(diào)試器IDA的商業(yè)插件，針對Intelx86系列下的程序，在IDA反匯編的基礎(chǔ)上進(jìn)行全局或者拒不的代碼逆向分析，得到類C的高級代碼表示。其它

國外對逆向分析的研究一直在發(fā)展進(jìn)行，國內(nèi)的研究在80年代合肥工業(yè)大學(xué)進(jìn)行一系列的研究后，沒有再進(jìn)行較為系統(tǒng)的研究開發(fā)。第十四頁，共十七頁，編輯于2023年，星期三實(shí)際工作中相關(guān)的逆向分析

結(jié)合實(shí)際工作，可能使用最多的逆向分析技術(shù)為反匯編，其次是（局部）反編譯。反匯編

常用工具IDA、OllyDbg和C32AsmIDA：全面系統(tǒng)的靜態(tài)分析，把握整體結(jié)構(gòu)和某些代碼細(xì)節(jié)；OllDbg：動態(tài)跟蹤調(diào)試常用軟件；C32Asm：快速靜態(tài)反匯編和修改。工具結(jié)合使用，分析手段動靜結(jié)合如理解有價值的二進(jìn)制程序，IDA可以全局把握整個程序的架構(gòu)和構(gòu)造，并在可知的執(zhí)行路徑上進(jìn)行相關(guān)的實(shí)際跟蹤；又如免殺處理OllyDbg和C32Asm都可以結(jié)合使用進(jìn)行免殺時的脫殼和寫覆蓋處理；密碼算法的識別中IDA的運(yùn)用。請輸入內(nèi)容第十五頁，共十七頁，編輯于2023年，星期三實(shí)際工作中相關(guān)的逆向分析反編譯

常用工具Hex-rays，主要用于局