从0开始学逆向 第一期:什么是逆向

已于 2024-09-03 21:09:59 修改
阅读量486 收藏 8
点赞数 21
分类专栏: CTF相关 从0开始的CTFer之路 # 从0开始学逆向 文章标签: linux 网络安全 c语言 安全
于 2024-09-03 00:13:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHTXRT/article/details/141833296
版权

Reverse 学习(一) - What is Reverse

也是摆了一年半了,今天也是闲得没事开个新坑。

注意:本系列以做为主,知识点一般也是根据做什么讲什么,所以有些基础知识写的并不全面(因为急着打O神,懒得写了)。

学习要求

  1. C语言至少略有掌握
  2. 基本计算机知识要有所知晓

什么是逆向

既然说到了逆向,那自然就有正向,正向就是我们的编程语言变成可以运行的程序的过程。

基本上大家都会在大学学到C语言,在上C语言课的时候,老师一般都会讲一下C语言是怎么变成我们运行的程序的,这里我们简要回顾一下:

编译

主要的目的是将便于人编写、阅读、维护的高级计算机语言所写作的源代码程序(比如大家写的C语言代码),翻译为计算机能解读、运行的低阶机器语言的程序(二进制),也就是可执行文件,主要流程如下:

源代码(source code)→ 预处理器(preprocessor)→ 编译器(compiler)→ 汇编程序(assembler)→ 目标代码(object code)→ 链接器(linker)→ 可执行文件(executables)

不太严谨的说,可以分成三步:C语言代码 → 汇编语言代码 → 字节码(用二进制代码表示的、计算机能直接识别和执行的一种机器指令的集合。)

那逆向就显而易见了,自然就是把上边这个过程反过来,也就是把程序变成我们能看懂的源代码,即 字节码(或称机器码) → 汇编语言代码C语言代码

不幸的是,编译程序是一个失去信息的过程,比如变量名、函数名等信息很多时候都会被去掉(编译时加-g选项可以保留这些信息),而且编译器也会在编译时加一些其它的代码进去,所以我们无法把程序完全恢复成源代码的样子。

好消息是,字节码 → 汇编语言代码 是没有什么问题的,因为字节码与汇编代码是一一对应的,就像阿拉伯数字和汉字数字一样,所以我们可以通过观察汇编代码,可以准确完整地分析出程序运行的整个过程。

可惜坏消息总是伴随着好消息的,坏消息是,我知道绝大部分新同学都看不懂汇编代码,没关系,前期 Reverse 的入门题目也用不着汇编语言,我们将在以后的章节对汇编语言进行讲解。

另外,不得不提的是,绝大部分时候,我们并不需要真的去准确地恢复程序原本的源代码,而是仅仅理解程序的流程和算法就可以了。

程序分析方法

分析一个程序主要有两种方式:静态分析和动态调试。

静态分析

指在不运行程序的条件下,进行程序分析的方法,主要使用的工具是IDA等。

通俗的说,静态分析就是先将程序通过反汇编反编译逆向为我们能看懂的编程语言代码,然后我们对其使用肉眼观察法,看着代码尝试着去理解程序的逻辑和算法。

反汇编,即藉用反汇编器,把程序的原始机器码,翻译成较便于阅读理解的汇编代码。这适用于任何的计算机程序,对不熟悉机器码的人特别有用。
反编译,即藉用反编译器,尝试从程序的机器码或字节码,重现高级语言形式的源代码。(不是所有的汇编代码都能正确地反编译为准确的高级编程语言代码!)

动态调试

很多同学可能在自己编写程序时,使用过gdb等调试器寻找程序中的bug,这与动态调试有相似之处,主要使用的工具有GDB、OD、x64dbg、IDA(没错我又来了)等。

动态调试往往也需要通过反汇编先得到程序的汇编代码在进行调试,与静态分析不同的是,动态调试需要运行程序,通过分析程序运行过程中寄存器,变量等部分的变化,动态地分析程序的运行逻辑。(所以很明显,有些程序不适合自己的电脑(别人的也不行)上进行动态调试(如病毒程序等))

可执行文件(程序)格式

在这一个系列中我们所说的程序,一般都是指电脑中的可执行文件

在 Windows 和 Linux 中,可执行文件的格式并不相同。

Windows

在Windows中,使用的是 PE(Portable Executable,可移植性可执行文件)格式的可执行文件,后缀名一般为 .exe,如下图所示:

在这里插入图片描述

Linux

在Linux中,使用的是 ELF(Executable and Linkable Format,可执行与可链接格式)格式的可执行文件,一般没有后缀名,如下图所示:

在这里插入图片描述

file 命令:用于辨识文件类型


另外,可执行文件还有指令集架构(比如x86与x64)之类的差别,希望大家在学校认真听课,在此我们不再赘述,在之后的章节将有所涉及。


本期就先说到这里,主要讲了讲逆向的一些基础知识,下期将会写一下IDA的基础使用方法。

参考资料

[1] 维基百科 :https://zh.wikipedia.org/zh-cn/%E7%B7%A8%E8%AD%AF%E5%99%A8

[2] CTF Wiki :https://ctf-wiki.org/reverse/introduction/

以上内容仅供参考,如有错漏,也很正常。


作者:CHTXRT

出处:https://blog.csdn.net/CHTXRT

本文使用「CC BY-ND 4.0」创作共享协议,转载请在文章明显位置注明作者及出处。

CHTXRT
关注
  • 21
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水网络第一期初级逆向培训视频
07-23
教程名称:滴水网络第一期初级逆向培训视频  资源太大,传百度网盘了,链接在附件中,有需要的同自取。
Javascript逆向+猿人第二题+动态cookie+逆向
02-28
寻找入口:逆向在大部分情况下就是找一些加密参数到底是怎么来的,关键逻辑可能写在某个关键的方法或者隐藏在某个关键的变量里,一个网站可能加载了很多 JavaScript 文件,如何从这么多的 JavaScript 文件的代码行中...
安卓逆向分析第一期115集视频课程下载整理.zip
08-20
【安卓逆向分析第一期115集视频课程下载整理.zip】这个压缩包文件是一个针对安卓逆向分析的全面习资源集合。逆向分析在IT领域中是一项关键技能,尤其对于软件安全、漏洞挖掘和应用优化来说至关重要。这115集的视频...
第七期月刊—Android逆向入门到进阶.pdf
08-08
Android逆向-Android基础逆向(1) Android 逆向 -Android 基础逆向(2) Android逆向-Android基础逆向(3) Android逆向-Android基础逆向(4) Android 逆向 -Android 基础逆向(5) Android 逆向 -Android 基础...
JS逆向猿人第一题源码
02-21
《JS逆向猿人第一题源码》 在IT领域,JavaScript逆向工程是一种重要的技能,它涉及到对JavaScript代码的分析、理解以及修改,常用于安全测试、漏洞挖掘和软件保护等方面。对于初者来说,熟悉并掌握这一技能至关...
【运维监控】prometheus+node exporter+grafana 监控linux机器运行情况(2)
alanchanchn的专栏
09-03 1213
本示例是通过prometheus的node exporter收集主机的信息,然后在grafana的dashborad进行展示。本示例使用到的组件均是最新的,下文中会有具体版本说明,linux环境是centos。本示例分为四个部分,即prometheus、grafana、node exporter的部署和三者集成的监控linux。本文旨在说明三者如何使用,不涉及各自组件的介绍,如果需要使用到本文的,肯定都有了解。
Linux字符设备驱动 -- regulator子系统
xi_xix_i的博客
09-01 736
Linux驱动之Regulator子系统Linux 内核之电源篇(加载流程)regulator,翻译就是调节器。一些可以输出电流电压的设备可以使用该子系统。举个例子,一个PMIC有多路输出,每一路输出都可以给很多外设、芯片供电。那么每一路输出,我都可以认为他是一个regulator。
linux 中如何将.c 文件转换为可执行文件
千千道的博客
08-29 1754
Linux 环境下进行 C 语言编程时,将.c文件转换为可执行文件是一个关键的步骤。这个过程涉及到使用编译器和一些相关的工具,本文将详细介绍在 Linux 系统中如何将.c文件转换为可执行文件的方法。
实时Linux性能监控脚本:周期性自动统计CPU、内存和IO使用情况
promise524的博客
08-30 945
Shell脚本实现每3秒钟监控系统的 CPU 占用率、内存使用情况、IO使用情况、每个 CPU 核心的占用率、CPU 占用率最高的前10个进程以及/opt目录的磁盘空间变化。
linux查找mysql日志
爱思考的People
08-30 555
MySQL的日志文件通常存储在数据库服务器的数据目录下,具体位置取决于MySQL的配置文件。# 查找MySQL配置文件# 查找MySQL日志文件。
解决bug: RuntimeError: Address already in use,一个linux下pytorch多卡训练tcp端口占用的bug
最新发布
beneficial的博客
09-03 165
时间:2024.9.3。
Linux下IO多路复用—select,poll,epoll
热土程序园,利他愉己~
08-29 1457
Linux下IO多路复用—select,poll,epoll IO多路复用是一种操作系统的技术,用于在单个线程或进程中管理多个输入输出操作。它的主要目的是通过将多个IO操作合并到一个系统调用中来提高系统的性能和资源利用率,避免了传统的多线程或多进程模型中因为阻塞IO而导致的资源浪费和低效率问题。 在IO多路复用中,通常使用的系统调用有 select()、poll()、epoll() 等,它们允许程序等待多个文件描述符(sockets、文件句柄等)中的任何一个变为可读或可写,然后再进行实际的IO操作。
linux nc
xiaozhi
09-03 330
linux nc
[Linux] 项目自动化构建工具-make/Makefile
水墨不写bug
09-03 687
[Linux] 项目自动化构建工具-make/Makefile
虚拟机Linux(Centos7)系统静态IP设置
BQ Blog
08-30 1262
这篇博客介绍了在虚拟机中配置Linux系统的静态IP地址的方法,适用于通过DHCP获取IP地址导致频繁更换IP的情况。首先,用户需要将虚拟机的网络模式更改为NAT模式,并在虚拟机网络编辑器中记录子网IP、子网掩码和网关。然后,编辑相应的网络配置文件,将网络协议更改为静态,并手动设置静态IP地址、子网掩码、网关和DNS。最后,重启网络服务并验证配置是否生效。
LinuxDNS域名解析服务
weixin_61252283的博客
09-03 270
根域一级域名:Top Level Domain edu,mil,gov,net,org,int,arpa组织域、国家域(.cn .ca, .hk, tw)、反向域二级域名:test.com三级域名:study.test.com最多可达127级域名。
Linux——IO模型_多路转接(epoll)
2301_76618602的博客
08-30 1024
一旦网卡中有数据了,网卡同个中断交给OS,接着网络协议栈就拿到数据了,所以在输入和输出缓冲区里有没有数据,OS是很清楚的,OS在缓冲区中设置回调方法,该回调方法就是epoll_ctl构建的。底层一旦有数据就绪并且是用户关心的,此时OS就会调用回调方法构建就绪队列的结点,填充清楚,是哪一个fd的什么事件已经就绪了,并连入就绪队列。只能循环读取,知道读不到数据,循环读取肯定是会遇到阻塞问题的,epoll当然是不敢阻塞的,否则进程会被挂起,因此fd必须是非阻塞的。进行增加,删除,修改操作。
linux 下一跳缓存,early demux(‌早期解复用)‌介绍
toyijiu的专栏
09-03 189
early demux是在skb接收方向的加速方案。linux kernel 3.6之后版本在取消了FIB查询前的路由缓存后,每个skb应该都需要查询FIB。而early demux是基于一种思想:如果一个skb是本机某个应用程序的套接字需要的,那么我们可以将路由的结果缓存在内核套接字结构上,这样下次同样的报文(四元组)到达后,我们可以在FIB查询前就将报文提交给上层,也就是提前分流(early demux)。
Linux】深入探讨Linux进程等待:`waitpid`与`wait`
2403_86785171的博客
08-29 1257
wait是一个用于等待任一子进程终止的系统调用。父进程调用wait后会被挂起,直到它的某个子进程终止,操作系统会将子进程的退出状态返回给父进程。如果没有子进程,wait会立即返回。status:用于存储子进程的终止状态。如果不关心子进程的退出状态,可以将其设置为NULL。正常返回时,wait返回终止的子进程的PID;如果出错,返回-1,并设置errno来指示错误原因。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值