反汇编要点学习
反汇编 IDAPro
IDA Pro 能编译多种文件格式,支持许多处理器类型。
它可以轻松地处理Java和.NET虚拟机字节码。
支持宏,插件,脚本语言。
提供的集成调试器,能够同时支持在MS-DOS、Windows与Linux平台上的调试工作。
能够借助于标准库函数的签名来识别函数名。
反汇编 解包器(Unpacker)
大多数程序倾向于以打包(或者添加保护机制)的形式出现,这样一来,直接对程序
进行反汇编变得不大可能。
由于大多数打包器与保护器实施了反调试机制,因此,调试同样变得复杂起来。
IDA Pro,OllyDbg,包括了一些通用解包器,能对一些不复杂的保护机制进行解包。
在开始搜寻合适的解包器之前,应该先弄清保护程序所使用的保护器或者打包器;
PEiD 能完成这项任务,它维护了一个由各种签名信息构成的海量数据库。
反汇编 转储器
保存正在运行的程序的转储内容是实施解包所采取的一种通用方法。
Lord PE,即使在PE头被保护机制有意修改并且一些内存页面不能访问(设置了
PAGE_NOACCESS属性)的情况下,Lord PE仍然能够实施转储内容的保存。
保存转储内容后,至少得恢复导入表,有时还需要恢复重定位元素表和资源分区。
恢复导入表,使用Import PE Constructor;ReloX,恢复重定位元素。
IDA Pro 能编译多种文件格式,支持许多处理器类型。
它可以轻松地处理Java和.NET虚拟机字节码。
支持宏,插件,脚本语言。
提供的集成调试器,能够同时支持在MS-DOS、Windows与Linux平台上的调试工作。
能够借助于标准库函数的签名来识别函数名。
反汇编 解包器(Unpacker)
大多数程序倾向于以打包(或者添加保护机制)的形式出现,这样一来,直接对程序
进行反汇编变得不大可能。
由于大多数打包器与保护器实施了反调试机制,因此,调试同样变得复杂起来。
IDA Pro,OllyDbg,包括了一些通用解包器,能对一些不复杂的保护机制进行解包。
在开始搜寻合适的解包器之前,应该先弄清保护程序所使用的保护器或者打包器;
PEiD 能完成这项任务,它维护了一个由各种签名信息构成的海量数据库。
反汇编 转储器
保存正在运行的程序的转储内容是实施解包所采取的一种通用方法。
Lord PE,即使在PE头被保护机制有意修改并且一些内存页面不能访问(设置了
PAGE_NOACCESS属性)的情况下,Lord PE仍然能够实施转储内容的保存。
保存转储内容后,至少得恢复导入表,有时还需要恢复重定位元素表和资源分区。
恢复导入表,使用Import PE Constructor;ReloX,恢复重定位元素。
总结
- 上一篇: Fedora学习总结
- 下一篇: WinDBG 要点学习