菜鸟的逆向工程学习之路——逆向工程基本介绍菜鸟的逆向工程学习之路——逆向工程基本介绍逆向工程是一种分析目标系统的过程旨在识别系统的各组件以及组件间关系以便能够通过其他形式或在较高的抽象层次上重建系统的表征。逆向工程一直被宣传为一种充满乐趣和带有神秘主义的技能而逆向分析者的工作看起来更有乐趣的原因似乎就是在指令奔涌中逆流而上绕开种种限制和保护找到代码中的“宝藏”——错误、漏洞或者是被加密算法层层掩盖的数据结构。电话铃声急促响起网络管理员告诉你说公司网站被黑了网站上的客户敏感信息被盗了。于是你立马开始调查分析首先检查了日志记录来确定事件涉及的主机。你用杀毒软件对这些主机进行了扫描检查是否感染了恶意代码。你的运气还算不错杀毒软件检测到一个木马程序名为TROJ.snapAK。你删除这个文件并清理了现场同时你还部署了一个入侵检测系统来确认没有其他主机被感染。最后你修补了一个你认为是被攻击者利用来入侵主机的安全漏洞来确保这种攻击事件不会再次发生。不幸的是几天之后网络管理员再次打电话过来告诉你说敏感信息又被窃取了。这看起来似乎是相同的攻击但你却不知道该做什么。很显然你部署的入侵检测系统特征库失效了。因为更多的主机被感染了而你的杀毒软件并没有提供足够的保护来隔离攻击威胁。现在公司高层管理人员要求你解释发生了什么而你可以告诉他们的只是一个名为TROJ.snapAK的恶意代码。你没有针对最重要问题的答案这让他们认为你是一位不称职的安全工程师。你该如何确定TROJ.snapAK恶意代码在做什么从而可以让你消除这个威胁?你如何才能写出一个更有效的网络检测特征?你怎样才能找出其他感染了这个恶意代码的主机呢?你该如何确保你删除了整个恶意代码程序包而不只是其中的-一部分呢?你该如何回答管理层关于这个恶意代码干了些什么的问题呢?幸运的是你在大学本科期间学习了逆向工程相关知识。CTF中逆向可以做什么逆向工程是CTF比赛中一个重要的方向涵盖了Windows逆向Linux逆向Android逆向密码学逆向等诸多方面要求利用常用工具对源代码及二进制文件进行逆向分析掌握 Android 移动应用 APK 文件的逆向分析掌握加解密、内核编程、算法、反调试和代码混淆技术。 ------ 《全国大学生信息安全竞赛参赛指南》但也因为其本身难度之高一个好的逆向手是团队中最稀缺的人才。逆向工程还是pwn方向的前置知识储备所谓“知己知彼百战不殆”如果说pwn是信息安全世界中最锋利的武器那逆向工程就是帮助它识破敌人弱点的锐利眼眸。在进行数据溢出攻击之前我们要用逆向工程的手法分析目标程序找到其关键弱点一击致命。我们可以说逆向是为pwn服务的工具也可以说pwn是长了牙齿的逆向工程。密码学逆向的独特之处CTF中有一部分逆向工程的题目其本身流程并不复杂但用到了高级的密码学加密方式我的一个学长称这种逆向题目为“密码学逆向”不需要你有很高的程序阅读能力但是要找出是哪种加密方式有怎样的特征值却是个极其艰巨的任务所以在遇到这种题目的时候逆向手往往要和密码学方向合作或者自学密码学。常规CTF逆向解题流程1、前置分析先用ExeInfoPePE工具进行查看程序属于哪平台下的例如windows X86/X64、android、linux等是否采用代码保护措施例如代码混淆、保护壳、各种反调试等并设法破除或绕过保护。2、定位突破将目标进行反汇编然后结合IDA和OD快速定位到关键代码例如验证函数、关键字符串信息、程序导入表。3、逆向分析如果程序在IDA中F5可以生成伪代码那么我们就先根据伪代码进行静态分析然后模糊不清的地方可以结合ollydbg工具进行动态调试观察来验证自己的猜想。4、破解程序针对程序功能写出对应脚本或者进行暴力破解求解出 flag。实际应用中逆向可以做什么软件破解软件的破解版运用了逆向工程技术借助各种方法绕过软件本身自带的自我验证机制通过后台服务器的网络验证机制给软件打上补丁白嫖free XD病毒防范逆向工程可用于杀毒软件病毒库的构建截获病毒后的处理。当电脑受到病毒入侵后保留完整病毒样本并对他们进行功能和逻辑分析找出其特征值对其进行封装隔离找到其主要攻击的位置预防下一次攻击时可能的数据丢失。漏洞挖掘很多人认为挖掘漏洞似乎是web方向的任务但实际上很多时候漏洞挖掘是在汇编级别的操作.学习逆向工程,对底层原理更加理解透彻.并且更多的时候是没有源代码的,挖掘漏洞就需要软件逆向恶意代码分析恶意代码分析是一种解剖恶意代码的艺术了解恶意代码是如何工作的、如何识别它以及如何战胜或消除它。网络上每天有着数以百万计甚至更多的恶意代码恶意代码分析成为了任何一位从事计算机安全事件响应安全工程师的必需技能。此外由于恶意代码分析专业人才的短缺熟练的恶意代码分析师正处于强烈的人才需求之中。逆向要学的理论内容静态分析、动态分析、恶意代码审计、加壳脱壳技术等所需的基础知识扎实的c语言功底、数据结构、汇编语言、操作系统、密码学等汇编知识window下的X86和X64; android下的ARM和ARM64。文件结构windox下的PE文件; android下的dex文件和ELF文件。反调试技术window和android下的调试和反调试对抗技术。加壳和脱壳PE的加壳和脱壳、 ELF和dex的加壳和脱壳。开发能力C、C、python等语言的开发能力。这里先重点介绍两种技术静态分析分析程序指令与结构来确定功能的过程使用反病毒软件来确认程序样本的恶意性使用哈希后续会讲来识别恶意代码从文件的字符串列表、函数和文件头信息中发掘有用信息动态分析在运行恶意代码之后进行检查的过程动态分析一般在静态分析基础技术进入一个死胡同的时候进行如恶意代码进行了混淆或者分析师已经穷尽了静态分析技术之后。在恶意代码运行时进行监控恶意代码运行之后检查系统情况《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取以上资料如何领取文章来自网上侵权请联系博主