Disassembly:
反汇编,就是把0/1机器代码转化成汇编代码,是低级转高级的过程。
the ida pro book把语言分成四代:
- 第一代:是由0和1组成的机器语言,也是最低级的语言lowest language。我们平时说的machine language, byte code, binaries全都是指的这个。executable
- 第二代:assembly language。汇编语言通过查表转换成machine code
- 第三代:C, JAVA这种语言都是高级语言。platform independent而且human readable
- 第四代:???书里没说这是啥
传统的方法是通过compilers,assemblers, 和linkers这些东西把人写的代码变成executable programs,但disassembers就是undo the assembly process, 输入是machine language,输出是assembly language。decompilers的目的是产生高级语言,输入是assembly language甚至是machine language。
Decompilation非常困难。因为当我们看一段32bits的机器码时候,我们不知道这32bits代表的是int 还是float 还是pointer还是什么别的。而且同一个source program(高级语言写的)可以变成多种不同的assembly languages, 而且每个不同的high level language都有独立的对应的compiler 和 decompiler, 如果对应不上的话结果就会不一样。Hex-Rays是目前为止最精确的decompiler。
Malware Analysis
主要有静态分析和动态分析两种。Dynamic anallysis 就包括执行这个malware,静态分析就仅通过分析它的代码,而不执行程序。后面用idapro做的那些就是静态的分析。
1129
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
