工欲善其事必先利其器,巧妇难为无米之炊,要有较好的工具才能完成伟大的事业。下面介绍一些软件分析和逆向工程的工具。
- 二进制编辑器(
Stirling
,一款日本圈子用的较多的工具)
http://www.vector.co.jp/soft/win95/util/se079072.html
该工具的功能主要是查看软件的二进制成分,与WinHex
类似。
比较流行的二进制编辑器,除了上面这种,还有BZ Editor,http://www.vector.co.jp/soft/win95/util/se032859.html,二者各有所长,通常是二者并用。
Stirling功能强大,但是处理大文件比较耗内存,而BZ Editor则可以轻松处理大文件。
- 文件和注册表监控器(
Process Monitor
)
http://technet.microsoft.com/en-us/sysinternals/bb896645
该工具会列出程序访问过的注册表项目和文件。注册表是Windows
系统提供给应用程序的一个用于保存配置信息的数据库,其中保存的数据包括浏览器设置、文件类型关联、用户密码等.
Windows
重启时自动运行的程序可以注册在下列任一注册表的位置。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
注意:通常一些程序不仅是恶意程序还有合法应用都会有修改注册表以便在系统重启时自动运行,或者将自动复制到“启动”文件夹以便在系统重启时自动运行。
- 网络监控和分析(
Wireshark
)
http://www.wireshark.org/
该工具主要可以实现网络侦听,抓取数据包,以及分析网络数据的工具,类似的工具还有Capsa Free
、Zenoss Core
、NetworkMiner
、The Dude
、Angry IP Scanner
、Fluentd
、TC Concole
、Zenmap
、JDSU
网络分析软件标准版 - 文件比对工具(
Beyond Compare
)
https://www.scootersoftware.com/
该工具主要可以进行文件夹、文件的比对,判断是否存在差异,也是代码比对修改的不错工具。 - 反汇编工具(IDA)
http://www.hex-rays.com/products/ida/support/download.shtml
IDA功能强大,能够以类似流程图一样对软件进行分析。 - 源码分析IDE(Visual Studio)
C/C++的源码分析IDE。结合IDA和VS,可以清晰分析出软件的执行逻辑和过程。 - 调试器(OllyDbg)
http://www.ollydbg.de/
调试器是一种帮助发现程序问题和 bug 的软件。具备断点、单步跳入、跳出以及查看寄存器和内存数据的功能。 - 汇编器(NASM)
http://www.nasm.us/
Windows 环境中的汇编器,可以编写汇编程序,还需要一种连接器ALINK http://alink.sourceforge.net/download.html。
例如helloworld.asm
extern MessageBoxA
section .text
global main
main:
push dword 0
push dword title
push dword text
push dword 0
call MessageBoxA
ret
section .data
title: db 'MessageBox', 0
text: db 'Hello World!', 0
运行示例:
C:\>nasm -fwin32 hello32.asm
C:\>alink -oPE hello32 win32.lib -entry main
省略
Generating PE file hello32.exe
Ref:
标签:逆向,www,http,工程,Windows,注册表,dword,工具 From: https://www.cnblogs.com/bonne-chance/p/18099652