工具
首先需要先下载 PE(exeinfope) 和 IDA(分为64位和32位) 来对二进制文件进行基本的分析判断。刚刚又接触了新的工具:jeb。
PE:可以用来对文件进行 查壳和 判断文件类型,如64位还是32位,用什么壳加密, exe文件 或 ELF文件 等等。
IDA:可以用来对二进制文件进行简单的静态分析,目前我还没有掌握动态分析,如 F5查看文件伪代码,shift+F12查看关键字符串,导出数据,查看 汇编框架等等。
jeb:用来对apk也就是安卓程序进行反编译静态分析
接触到的壳
目前只遇到一种壳,名叫 upx壳 ,可以将文件放入PE中就能发现,然后将文件放入kali中,用kali自带的upx进行脱壳处理,代码如下:
upx -d 文件地址
用GDB动态分析
这个需要在Linux系统中下载,下面介绍一线简单的用法
首先将文件放入桌面,在在桌面进入小窗口,输入如下命令给文件执行权限并进入文件:
chmod a+x ./10
gdb ./文件名 #我也不知道为什么绝对路径不管用,但是这样也能打开
ビッグガイのブログを参照してください。https://www.cnblogs.com/Mayfly-nymph/p/11403150.html
ファイルを入力したら、次のようなデバッグが必要なコードを記述できます。
xコマンド
x /(n、f、u)の
後のnfuはオプションのパラメーターです。nは表示する行数です。uは独自のバイトの表示サイズです(4バイト表示の場合はw、2バイト表示の場合はhなど)
。fで使用されます。パラメータは次のとおりです
。x(hex)は、変数を16進形式で表示します。
d(decimal)変数を10進形式で表示します。
u(符号なし10進数)符号なし整数を10進形式で表示します。
o(octal)変数を8進形式で表示します。
t(binary)変数をバイナリ形式で表示します。
a(address)変数を16進形式で表示します。
c(char)変数を文字形式で表示します。
f(float)変数を浮動小数点数形式で
表示しますs(str)通常の文字列形式で表示します
bコマンド
b関数名
はこの関数のブレークポイントを表し、プログラムはここで停止します
rコマンド
r
は実行中のプログラムを表します
nコマンド
n
はシングルステップ実行プログラムを表します