反汇编要点学习


 IDA Pro 能编译多种文件格式,支持许多处理器类型。
 它可以轻松地处理Java和.NET虚拟机字节码。
 支持宏,插件,脚本语言。
 提供的集成调试器,能够同时支持在MS-DOS、Windows与Linux平台上的调试工作。
 能够借助于标准库函数的签名来识别函数名。


反汇编 解包器(Unpacker)
 大多数程序倾向于以打包(或者添加保护机制)的形式出现,这样一来,直接对程序
进行反汇编变得不大可能。
 由于大多数打包器与保护器实施了反调试机制,因此,调试同样变得复杂起来。
 IDA Pro,OllyDbg,包括了一些通用解包器,能对一些不复杂的保护机制进行解包。
 在开始搜寻合适的解包器之前,应该先弄清保护程序所使用的保护器或者打包器;
 PEiD 能完成这项任务,它维护了一个由各种签名信息构成的海量数据库。


反汇编 转储器
 保存正在运行的程序的转储内容是实施解包所采取的一种通用方法。
 Lord PE,即使在PE头被保护机制有意修改并且一些内存页面不能访问(设置了
PAGE_NOACCESS属性)的情况下,Lord PE仍然能够实施转储内容的保存。
 保存转储内容后,至少得恢复导入表,有时还需要恢复重定位元素表和资源分区。

相关内容推荐