逆向入门

逆向学习笔记

基本内容

1. 前置知识

• C、 C++语言
• x86汇编语言
• 少量的组成原理、编译原理等方面知识
• 少量Python类脚本语言编程
• 部分密码算法知识
  • 熟悉Base64编码
  • 熟悉MD5，SHA1等hash算法
  • 熟悉DES、AES、RC4、TEA等分组加密算法
  • 熟悉RSA等非对称加密算法
  • 了解数字签名、SSL/TLS等密码算法的相关应用

1.1 学习内容

• 《逆向工程核心原理》、《加密与解密（第四版）》这两本书建议完整学习。
• 学习github上的资源汇总：https://github.com/alphaSeclab/awesome-reverse-engineering

1.2 学习目标

• 用C语言编写一个程序，使用openssl加密库，来对指定目录下的所有文件进行加密。
• 《逆向工程核心原理》、《加密与解密（第四版）》相关例程都要掌握。

2. 汇编与反汇编知识

2.1 学习内容

• 熟悉常见x86汇编指令
• 熟悉函数调用约定
• 熟悉函数调用栈
• IDA工具的使用
• IDA插件编写方法

2.2 学习目标

1. 编程实现5个C、C++程序，包括文件操作、socket操作、进程操作、注册表操作，用IDA对程序进行反汇编处理，从反汇编代码中找出自己写的函数，理解反汇编代码指令功能（对照着c源码）。
2. 撰写一篇关于函数调用约定和函数调用栈的笔记，能够对照反汇编实例，理解函数调用过程。

3. 可执行文件结构

3.1 PE文件结构

学习内容

• 参考《逆向工程核心原理》关于PE文件的内容
• 详细理解PE文件格式
• 学习LordPE、PEStudio等PE解析器的使用方法
• 学习ELF文件格式。ELE是Linux下的可执行文件格式，与PE类似，可参考https://blog.csdn.net/mergerly/article/details/94585901

学习目标

1. 编写一个PE文件解析器，能够解析并输出PE文件主要内容。
2. 编写一个ELF文件解析器，能够解析并输出ELF文件主要内容。

3.2 PE文件感染

学习内容

• PE感染示例代码

学习目标

1. 编写一个PE文件感染代码，通过添加节的方式，实现PE文件的感染，执行PE文件的时候，能够弹出一个计算器。

4. 调试与反调试

4.1 动态调试

学习内容

• 学习OllyDBG调试工具的使用方法，自行百度资料
• 学习WinDBG调试工具的使用方法，自行百度资料

学习目标

1. 会使用OllyDBG对程序进行逆向调试，实现程序注册码破解
2. 用OllyDBG对给定的三个PE文件进行动态调试，撰写调试分析报告

4.2 反调试方法

学习内容

• 反调试学习：参考 https://blog.csdn.net/xiao_yi_xiao/article/details/121762629
• 反调试相关Windows API
  • IsDebuggerPresent
  • CheckRemoteDebuggerPresent
  • NtQueryInformationProcess
  • GetLastError
  • ZwSetInformationThread

学习目标

1. 编写一个程序，使其具备反调试功能，并使用调试器检验反调试效果

5.加壳与脱壳

学习内容

• 加壳的原理与方法
• 脱壳的原理与方法
• 了解虚拟机壳的原理
• 相关内容可参考《加密与解密》

学习目标

1. 编写一个简单的PE文件加壳工具
2. 对5个加壳程序进行脱壳处理

6. 代码混淆与去混淆

学习内容

• 常用代码混淆方法：指令替换、垃圾指令、控制流扁平化等
• 花指令总结 https://www.anquanke.com/post/id/236490
• OLLVM学习（实验室有系统的学习资料）

学习目标

1. 编写一个自动化的代码混淆工具
2. 对三个混淆程序进行反混淆处理

其他参考资料

其他语言逆向

Java

C#

Go

• Go二进制文件逆向分析从基础到进阶——综述 - 安全客，安全资讯平台 (anquanke.com)

Python

Lua

Android

swf

• ffdec https://github.com/jindrapetrik/jpexs-decompiler/releases

其他资源

在线资源

• 看雪论坛
• 吾爱破解

CTF比赛

• 看雪CTF，每季度一次
• CTF等
• 其他，几乎每周都有CTF比赛

常用工具

反汇编与反编译

• IDA Pro（重点）
• Ghidra
• Jeb（安卓）

调试工具

工具	操作系统	处理器	内核	备注
OD	Windows	32	不支持
x64Dbg	Windows	32、64	不支持
Windbg	Windows	32、64	支持
GDB	Linux	32、64	支持

文件结构查看工具

文件查看工具

• peview
• peid
• PEStudy
• HackResource（PE文件资源）
• readelf

二进制编辑工具

• 010editor

IDA Pro

常用操作

IDAPython 脚本

• IDAPython Book https://bbs.pediy.com/thread-225920.htm
• https://www.hex-rays.com/products/ida/support/idapython_docs/

插件

• 插件集合 https://github.com/devttys0/ida

OD

常用操作

• 入门教程 https://bbs.pediy.com/thread-33399.htm

WinDbg

超级推荐WinDbg 10的TTD模式

配置

命令

GDB

• GDB原理 https://bbs.pediy.com/thread-265599.htm

命令

• https://github.com/skywind3000/awesome-cheatsheets

插件

• peda
• gef