工具
首先需要先下载 PE(exeinfope) 和 IDA(分为64位和32位) 来对二进制文件进行基本的分析判断。刚刚又接触了新的工具:jeb。
PE:可以用来对文件进行 查壳和 判断文件类型,如64位还是32位,用什么壳加密, exe文件 或 ELF文件 等等。
IDA:可以用来对二进制文件进行简单的静态分析,目前我还没有掌握动态分析,如 F5查看文件伪代码,shift+F12查看关键字符串,导出数据,查看 汇编框架等等。
jeb:用来对apk也就是安卓程序进行反编译静态分析
接触到的壳
目前只遇到一种壳,名叫 upx壳 ,可以将文件放入PE中就能发现,然后将文件放入kali中,用kali自带的upx进行脱壳处理,代码如下:
upx -d 文件地址
用GDB动态分析
这个需要在Linux系统中下载,下面介绍一线简单的用法
首先将文件放入桌面,在在桌面进入小窗口,输入如下命令给文件执行权限并进入文件:
chmod a+x ./10
gdb ./文件名 #我也不知道为什么绝对路径不管用,但是这样也能打开
参考大佬博客:https://www.cnblogs.com/Mayfly-nymph/p/11403150.html
进入文件后可以写需要调试用到的代码如:
x命令
x/(n,f,u)
后面的nfu为可选参数,其中n为显示几行;u为显示多大自己字节,如w为4字节显示,h为2字节显示;
f用到的参数如下:
x(hex) 按十六进制格式显示变量。
d(decimal) 按十进制格式显示变量。
u(unsigned decimal) 按十进制格式显示无符号整型。
o(octal) 按八进制格式显示变量。
t(binary) 按二进制格式显示变量。
a(address) 按十六进制格式显示变量。
c(char) 按字符格式显示变量。
f(float) 按浮点数格式显示变量
s(str)按普通字符串形式显示
b 命令
b 函数名字
代表在这个函数下断点,程序运行到这里会停下来
r 命令
r
代表运行程序
n 命令
n
代表单步运行程序