网络安全攻防：软件逆向之反汇编

 

1. 逆向工程

逆向工程（RE，Reverse Engineering）是一种技术过程，即对一项目标产品进行逆向分析及研究，从而演绎并得出该产品的处理流程、组织结构、功能性能规格等设计要素，以制作出功能相近，但又不完全一样的产品。逆向工程源于商业及军事领域中的硬件分析。其主要目的是，在不能轻易获得必要的生产信息下，直接从成品的分析，推导出产品的设计原理。

2. 基本概念

机器码（Machine Code）：电脑CPU可直接解读的数据，也被称为原生码（Native Code），与运行平台有关。

汇编语言（Assembly Language）：用助记符代替机器指令的操作码，用地址符号或标号代替指令或操作数的地址，方便程序员编写代码。汇编语言和特定的机器语言指令集是一一对应的，不同平台之间不可直接移植。主流的有ARM汇编和x86汇编。

CPU寄存器：用来暂时存储指令、数据和地址，包括通用寄存器、专用寄存器和控制寄存器。逆向分析时需要注意特殊寄存器的变化。

WinAPI：Windows 操作系统中可用的内核应用程序编程接口，在 Windows 平台研究学习逆向工程需要了解一些WinAPI编程。

3. 反汇编

反汇编是把目标代码转化为汇编代码、将低级代码转化为高级代码的过程。

以最著名的HelloWorld为例，先在Visual Studio中新建一个HelloWorld项目如下所示。

//HelloWorld.cpp: 定义控制台应用程序的入口点。 
#include"stdafx.h"  
#include<stdio.h>  
int_tmain(int argc,_TCHAR*argv[])  
{  
printf("HelloWorld\n");  
return 0;  
} 

在生成→配置管理器→活动解决方案配置选择Release。选择Release模式生成可执行文件，程序代码会更简洁，方便调试，如图1所示。

图1  Release模式

此时生成的是HelloWorld.exe的可执行文件，已经不能直接看到程序的源码。通过该可执行文件还原出汇编代码的过程就是反汇编。我们用OllyDbg加载该程序可以轻松地看到反汇编代码，如图2所示。

图2  反汇编代码

4. 常见的工具

OllyDbg是一个新的动态追踪工具，将IDA与SoftICE结合起来的思想，Ring 3级调试器，非常容易上手，已代替SoftICE成为当今最为流行的调试解密工具。同时还支持插件扩展功能，是目前最强大的调试工具。运行界面如图3所示。

图3  OllyDbg运行界面

IDA Pro 32/64：IDA Pro简称IDA（Interactive Disassembler），是一个世界顶级的交互式反汇编工具，有两种可用版本。标准版（Standard）支持20多种处理器，高级版（Advanced）支持50多种处理器，运行界面如图4所示。

图4  IDA Pro运行界面

SoftIce：SoftIce是Compuware NuMega公司的产品，是Windows2000及之前的内核级调试工具，兼容性和稳定性极好，可在源代码级调试各种应用程序和设备驱动程序，也可使用TCP/IP连接进行远程调试。但目前微软的Windbg方便性、可靠性及可用性远远超出SoftICE，且免费使用。所以SoftIce并没有推后续版本。

WinDbg：WinDbg 是在 Windows 平台下，强大的用户态和内核态调试工具。相比较于Visual Studio，它是一个轻量级的调试工具，所谓轻量级指的是它的安装文件大小较小，但是其调试功能，却比Visual Studio更为强大。它的另外一个用途是可以用来分析Dump数据，程序运行如图5所示。

图5  WinDbg运行界面

5. 分类识别工具

在第一次拿到一个文件时，我们需要确定这是一个什么类型的文件。通常可以通过文件扩展名确定。有时候文件扩展名并没有什么实际意义，所以不能通过扩展名来确定文件类型。

（1）file

在大多数 Linux 系统中都带有这个实用工具。file 通过检查某些特定字段来确定文件类型，如下。

root@kail:～/Desktop# file HelloWorld.exe  
HelloWorld.exe: PE32 executable for MS Windows(console)Intel 80386 32-bit  
root@kali:～/Desktop# file a  
a:ASCII text 

常见命令：file[-bchikLnNprsvz][-f namefile][-F separator][-mmagicfiles]file。命令参数及描述如表1所示。

表1  file命令参数及描述

（2）PE tools

PE tools用于分析Windows系统中正在运行的进程和可执行文件，主界面如图6所示，列出了所有活动进程和每个进程调用的动态链接库。

图6  PE tools主界面

（3）PEiD

PEiD 是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名，运行界面如图7所示。

图7  PEiD运行界面

6. 摘要工具

一般情况下，我们可以获得的都是二进制程序文件，所有也只能对二进制程序进行逆向。在对文件有了初步的了解和分类后，需要对特定的文件格式进行解析。

（1）nm

nm是names的缩写。nm命令主要是用来列出某些文件中的符号，如一些函数和全局变量。在Linux下面重新编译生成了Helloworld，用nm命令分别查看效果，命令：nm Helloworld，运行如下。

root@kali:～/Desktop# nm Helloworld  
00000000006008e8 B __bss_start  
00000000006008e8 b completed.6979  
00000000006008d8 D __data_start  
00000000006008d8 W data_start  
0000000000400420 t deregister_tm_clones  
00000000004004a0 t__do_global_dtors_aux  
00000000006006c8 t__do_global_dtors_aux_fini_array_entry  
00000000006008e0 D__dso_handle  
00000000006006d8 d_DYNAMIC  
00000000006008e8 D_edata  
00000000006008f0 B_end  
0000000000400574 T_fini  
00000000004004c0 t frame_dummy  
00000000006006c0 t__frame_dummy_init_array_entry  
00000000004006b8 r__FRAME_END__  
00000000006008b0 d_GLOBAL_OFFSET_TABLE_  
w__gmon_start__  
0000000000400590 r__GNU_EH_FRAME_HDR  
0000000000400390 T_init  
00000000006006c8 t__init_array_end  
00000000006006c0 t__init_array_start  
0000000000400580 R_IO_stdin_used  
w_ITM_deregisterTMCloneTable  
w_ITM_registerTMCloneTable  
00000000006006d0 d__JCR_END__  
00000000006006d0 d__JCR_LIST__  
w_Jv_RegisterClasses  
0000000000400570 T__libc_csu_fini  
0000000000400500 T__libc_csu_init  
U__libc_start_main@@GLIBC_2.2.5  
00000000004004e6 T main  
U puts@@GLIBC_2.2.5  
0000000000400460 t register_tm_clones  
00000000004003f0 T_start  
00000000006008e8 D__TMC_END__ 

输出字符含义如表2所示。

表2  输出字符含义

（2）ldd

ldd（List Dynamic Dependencies）是Linux上自带的脚本，用来列出可执行文件所需的动态库。命令：ldd Helloworld。

root@kali:～/Desktop#ldd Helloworld  
linux-gate.so.1=>(0xb77ef000)  
libc.so.6=>/lib/tls/i686/cmov/libc.so.6(0xb7683000)  
/lib/ld-linux.so.2(0xb77f0000) 

（3）Objdump

Objdump 是一个十分强大的工具，可以灵活地查询文件的各种信息，有大概 30个可选项，可以通过objdump –help查询。简单查看反汇编代码使用如下：Objdump-d helloworld，运行部分如下。

root@kaili:～/Desktop# objdump-d Helloworld  
HelloWorld：文件格式 elf64-x86-64  
Disassembly of section.init:  
0000000000400390 <_init>:  
400390:48 83 ec 08 sub $0x8,%rsp  
400394:48 8b 05 0d 05 20 00 mov 0x20050d(%rip),%rax #6008a8<_DYNAMIC+0x1d0>  
40039b:48 85 c0 test %rax,%rax  
40039e: 74 05 je 4003a5<_init+0x15>  
4003a0: e8 3b 00 00 00 callq 4003e0<__libc_start_main@plt+0x10>  
4003a5: 48 83 c4 08 add $0x8,%rsp  
4003a9: c3 retq  
Disassembly of section.plt:  
00000000004003b0 <puts@plt-0x10>:  
4003b0:ff 35 02 05 20 00 pushq 0x200502(%rip) # 6008b8<_GLOBAL_OFFSET_TABLE_+0x8>  
4003b6:ff 25 04 05 20 00 jmpq *0x200504(%rip) # 6008c0<_GLOBAL_OFFSET_TABLE_+0x10>  
4003bc: 0f 1f 40 00 nopl 0x0(%rax) 

（4）Otool

可以获取OS X二进制文件的相关信息。类似objdump的实用工具。

（5）Dumpbin

微软VisualStudio工具套件里的一个命令行工具。主要用于Windows PE文件相关信息的获取。用法类似Objdump。

7. 深度检测工具

strings实用工具专门用于提取文件中的字符串内容，通常使用该工具不会受到文件格式的限制。使用strings的默认设置（至少包含4个字符的7位ASCII序列）。用strings对Helloworld进行检测，部分代码如下。

root@kaili:～/Desktop# strings Helloworld  
/lib64/ld-linux-x86-64.so.2  
libc.so.6  
puts  
__libc_start_main  
__gmon_start__  
GLIBC_2.2.5  
AWAVA  
AUATL  
[]A\A]A^A_  
HelloWorld  

本文转载自网络，原文链接：https://mp.weixin.qq.com/s/7kpyF-P44xa_S4Vsa4Q9BQ
本站部分内容转载于网络，版权归原作者所有，转载之目的在于传播更多优秀技术内容，如有侵权请联系QQ/微信：153890879删除，谢谢！