[閒聊] 2017.W24 - 逆向工程 (Reverse Engineering)

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間7年前 (2017/06/14 07:54)推噓2(2推 0噓 3→)

留言5則, 5人參與討論串1/1

2017.W24 - 逆向工程 (Reverse Engineering) > 微下-擊爆-流聽起來就很像中二的招數名稱 ## 前言 ## 之前曾經為了公司上的事情特別研究了逆向工程最後發現... 只要有心都是可以逆向了然後這個天氣真的很好睡不知不覺... 就睡著了呢 ## 內容 ## 逆向工程[0] 是一種技術：透過將原本的產品透過逆向分析，而找出原本產品的製造與處理過程在軟體的世界中逆向工程就是透過各種神奇的手法分析並理解程式的邏輯最終找出其中的關鍵處並加以修改可以從遊戲破解[1] 私服[2] 找到其中的地下商機在我之前的研究中逆向工程會大致分為兩類：靜態分析、動態分析靜態分析也就是不需要將程式執行只需要直接分析檔案的內容 (機械碼) 現在絕大多數的軟體都運行在 x86-64[3] 的環境相關的攜械碼-組合語言對應也容易找到因此將一個軟體反組譯[4] 成組合語言是相對容易的防治反組譯的手法有若干種其中最有效的方式則是利用加殼加殼技術的概念則是利用在原本的程式中再疊加一個程式來混淆[6]原本的程式邏輯用一個簡單的概念： 1. 原本的程式可以先用 Huffman Coding[7] 先行壓縮 2. 主程式開始的邏輯則是一個 Huffman Decoder 3. 運行的時候則需先跑完整的 Decode 流程才能夠執行程式這種加殼技術目的在於將靜態逆向的難度再疊加一層需要破解加殼的運作邏輯想當然這種防止逆向工程的技術並沒有從根本解決同樣的動態分析則是在程式運作的時候透過除錯器[8] 分析程式的運作流程這種分析的優點在於可以即時的修改程式的所有內容包含資料、執行流程等常見的除錯器包含 GDB[9]、WinDBG[10] 運作的方式都是利用系統本身提供的系統指令來做動態除錯針對動態分析的防止方法則是利用 Anti-Debugging[11] 透過若干手法讓程式本身判斷是否處於 Debugger 的狀態下 [0]: https://zh.wikipedia.org/wiki/%E9%80%86%E5%90%91%E5%B7%A5%E7%A8%8B [1]: https://zh.wikipedia.org/wiki/%E6%B3%A8%E5%86%8C%E6%9C%BA [2]: https://zh.wikipedia.org/wiki/%E7%A7%81%E4%BA%BA%E4%BC%BA%E6%9C%8D%E5%99%A8 [3]: https://zh.wikipedia.org/zh-tw/X86-64 [4]: https://zh.wikipedia.org/wiki/%E5%8F%8D%E7%B7%A8%E8%AD%AF%E5%99%A8 [5]: https://zh.wikipedia.org/wiki/%E5%8A%A0%E6%AE%BC%E5%A3%93%E7%B8%AE [6]: https://zh.wikipedia.org/wiki/%E4%BB%A3%E7%A0%81%E6%B7%B7%E6%B7%86 [7]: https://en.wikipedia.org/wiki/Huffman_coding [8]: https://zh.wikipedia.org/wiki/%E8%B0%83%E8%AF%95%E5%B7%A5%E5%85%B7 [9]: https://www.gnu.org/software/gdb/ [10]: http://www.windbg.org/ [11]: https://en.wikipedia.org/wiki/Debugging#Anti-debugging -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1497398049.A.ACD.html