反汇编要点学习
反匯編 IDAPro
?IDA Pro 能編譯多種文件格式,支持許多處理器類型。
?它可以輕松地處理Java和.NET虛擬機字節碼。
?支持宏,插件,腳本語言。
?提供的集成調試器,能夠同時支持在MS-DOS、Windows與Linux平臺上的調試工作。
?能夠借助于標準庫函數的簽名來識別函數名。
反匯編 解包器(Unpacker)
?大多數程序傾向于以打包(或者添加保護機制)的形式出現,這樣一來,直接對程序
進行反匯編變得不大可能。
?由于大多數打包器與保護器實施了反調試機制,因此,調試同樣變得復雜起來。
?IDA Pro,OllyDbg,包括了一些通用解包器,能對一些不復雜的保護機制進行解包。
?在開始搜尋合適的解包器之前,應該先弄清保護程序所使用的保護器或者打包器;
?PEiD 能完成這項任務,它維護了一個由各種簽名信息構成的海量數據庫。
反匯編 轉儲器
?保存正在運行的程序的轉儲內容是實施解包所采取的一種通用方法。
?Lord PE,即使在PE頭被保護機制有意修改并且一些內存頁面不能訪問(設置了
PAGE_NOACCESS屬性)的情況下,Lord PE仍然能夠實施轉儲內容的保存。
?保存轉儲內容后,至少得恢復導入表,有時還需要恢復重定位元素表和資源分區。
?恢復導入表,使用Import PE Constructor;ReloX,恢復重定位元素。
?IDA Pro 能編譯多種文件格式,支持許多處理器類型。
?它可以輕松地處理Java和.NET虛擬機字節碼。
?支持宏,插件,腳本語言。
?提供的集成調試器,能夠同時支持在MS-DOS、Windows與Linux平臺上的調試工作。
?能夠借助于標準庫函數的簽名來識別函數名。
反匯編 解包器(Unpacker)
?大多數程序傾向于以打包(或者添加保護機制)的形式出現,這樣一來,直接對程序
進行反匯編變得不大可能。
?由于大多數打包器與保護器實施了反調試機制,因此,調試同樣變得復雜起來。
?IDA Pro,OllyDbg,包括了一些通用解包器,能對一些不復雜的保護機制進行解包。
?在開始搜尋合適的解包器之前,應該先弄清保護程序所使用的保護器或者打包器;
?PEiD 能完成這項任務,它維護了一個由各種簽名信息構成的海量數據庫。
反匯編 轉儲器
?保存正在運行的程序的轉儲內容是實施解包所采取的一種通用方法。
?Lord PE,即使在PE頭被保護機制有意修改并且一些內存頁面不能訪問(設置了
PAGE_NOACCESS屬性)的情況下,Lord PE仍然能夠實施轉儲內容的保存。
?保存轉儲內容后,至少得恢復導入表,有時還需要恢復重定位元素表和資源分區。
?恢復導入表,使用Import PE Constructor;ReloX,恢復重定位元素。
總結
- 上一篇: Fedora学习总结
- 下一篇: WinDBG 要点学习