170512 逆向-静态分析技术

1625-5 王子昂 总结《2017年5月12日》 【连续第223天总结】

A.加密与解密 IDApro

B.动态分析技术是把程序加载到内存中然后进行调试

静态分析技术则是根据程序进行逆向，获得汇编代码或源代码，然后从程序清单上分析程序流程，了解模块完成的功能

高级语音编写的程序有两种形式，一种被编译成机器语言在CPU上执行，如Visual C++\Pascal等。由于机器语言和汇编语言几乎是对应的，因此可将机器语言转化成汇编语言，这个过程称为反汇编。另一种高级语言是一边解释一边执行的，称为解释型语言。这类语言的编译后程序可以被还原成源码，这个过程称为反编译。

静态分析的第一步就是分析程序的类型，了解程序的编写语言和加密状况。

PEiD是一款常用的文件检测分析工具，能检测大多数编译语言、病毒和加密的壳。

这类文件分析工具是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分，利用这点就可以识别出语言。被加壳程序处理过的程序，在壳里会留下相关加壳软件信息，利用这点就可识别出是被何种壳加密的。

PEiE提供了一个扩展接口文件userdb.txt，用户可以自定义一些特征码，这样就可以识别出新的类型。

有些外壳程序为了欺骗这种文件识别软件，会将一些加壳信息去除，并伪造启动代码部分

反汇编引擎的作用是把机器码解析成汇编指令。常见的反汇编引擎有udis86,ade,xde等

IDA的配置

在Options中可以配置IDA，但这种配置只对当前项目有效

若想修改默认配置，则需要编辑ida.cfg文件

不能使用记事本，因为有些特殊字符识别不好，会造成文件损坏；应使用UltraEdit等工具

该文件由两部分组成：第一部分定义文件的扩展名、内存、屏幕等设置，第二部分配置普通参数，如代码显示格式，ASCII字符串显示格式

IDA有一个参考重命名功能，可以将所有函数参考命名一次改动

C.明日计划

加密与解密IDApro