本文介绍了逆向工程的基本概念,包括其在网络安全中的应用,如软件破解、病毒防范和恶意代码分析。还涵盖了逆向工程在CTF比赛中的重要性,以及静态分析和动态分析的解题流程。学习逆向工程需要掌握的理论和技术包括静态分析、动态分析、加壳脱壳、反调试等。
菜鸟的逆向工程学习之路——逆向工程基本介绍
逆向工程是一种分析目标系统的过程,旨在识别系统的各组件以及组件间关系,以便能够通过其他形式或在较高的抽象层次上,重建系统的表征。
逆向工程一直被宣传为一种充满乐趣和带有神秘主义的技能,而逆向分析者的工作看起来更有乐趣的原因,似乎就是在指令奔涌中逆流而上,绕开种种限制和保护,找到代码中的“宝藏”——错误、漏洞或者是被加密算法层层掩盖的数据结构。
电话铃声急促响起,网络管理员告诉你说公司网站被黑了,网站上的客户敏感信息被盗了。于是你立马开始调查分析,首先检查了日志记录,来确定事件涉及的主机。你用杀毒软件对这些主机进行了扫描,检查是否感染了恶意代码。你的运气还算不错,杀毒软件检测到一个木马程序,名为TROJ.snapAK。你删除这个文件,并清理了现场,同时你还部署了一个入侵检测系统,来确认没有其他主机被感染。最后你修补了一个你认为是被攻击者利用来入侵主机的安全漏洞,来确保这种攻击事件不会再次发生。不幸的是,几天之后网络管理员再次打电话过来,告诉你说敏感信息又被窃取了。这看起来似乎是相同的攻击,但你却不知道该做什么。很显然,你部署的入侵检测系统特征库失效了。因为更多的主机被感染了,而你的杀毒软件并没有提供足够的保护来隔离攻击威胁。现在,公司高层管理人员要求你解释发生了什么,而你可以告诉他们的只是一个名为TROJ.snapAK的恶意代码。你没有针对最重要问题的答案,这让他们认为你是一位不称职的安全工程师。你该如何确定TROJ.snapAK恶意代码在做什么,从而可以让你消除这个威胁?你如何才能写出一个更有效的网络检测特征?你怎样才能找出其他感染了这个恶意代码的主机呢?你该如何确保你删除了整个恶意代码程序包,而不只是其中的-一部分呢?你该如何回答管理层关于这个恶意代码干了些什么的问题呢?
幸运的是,你在大学本科期间学习了逆向工程相关知识。
CTF中逆向可以做什么
逆向工程是CTF比赛中一个重要的方向
涵盖了Windows逆向,Linux逆向,Android逆向,密码学逆向等诸多方面,要求利用常用工具对源代码及二进制文件进行逆向分析,掌握 Android 移动应用 APK 文件的逆向分析,掌握加解密、内核编程、算法、反调试和代码混淆技术。( ------ 《全国大学生信息安全竞赛参赛指南》)但也因为其本身难度之高,一个好的逆向手是团队中最稀缺的人才。
逆向工程还是pwn方向的前置知识储备
所谓“知己知彼,百战不殆”,如果说pwn是信息安全世界中最锋利的武器,那逆向工程就是帮助它识破敌人弱点的锐利眼眸。在进行数据溢出攻击之前,我们要用逆向工程的手法,分析目标程序,找到其关键弱点,一击致命。我们可以说逆向是为pwn服务的工具,也可以说pwn是长了牙齿的逆向工程。
密码学逆向的独特之处
CTF中,有一部分逆向工程的题目,其本身流程并不复杂,但用到了高级的密码学加密方式,我的一个学长称这种逆向题目为“密码学逆向”,不需要你有很高的程序阅读能力,但是要找出是哪种加密方式,有怎样的特征值,却是个极其艰巨的任务,所以在遇到这种题目的时候,逆向手往往要和密码学方向合作或者自学密码学。
常规CTF逆向解题流程
1、前置分析
先用ExeInfoPePE工具进行查看程序属于哪平台下的,例如windows X86/X64、android、linux等,是否采用代码保护措施,例如:代码混淆、保护壳、各种反调试等,并设法破除或绕过保护。
2、定位突破
将目标进行反汇编,然后结合IDA和OD快速定位到关键代码(例如验证函数、关键字符串信息、程序导入表)。
3、逆向分析
如果程序在IDA中F5可以生成伪代码,那么我们就先根据伪代码进行静态分析,然后模糊不清的地方可以结合ollydbg工具进行动态调试,观察来验证自己的猜想。
4、破解程序
针对程序功能,写出对应脚本,或者进行暴力破解,求解出 flag。
实际应用中逆向可以做什么
软件破解
软件的破解版,运用了逆向工程技术,借助各种方法,绕过软件本身自带的自我验证机制,通过后台服务器的网络验证机制给软件打上补丁,白嫖free XD
病毒防范
逆向工程可用于杀毒软件病毒库的构建,截获病毒后的处理。
当电脑受到病毒入侵后,保留完整病毒样本,并对他们进行功能和逻辑分析,找出其特征值,对其进行封装隔离;找到其主要攻击的位置预防下一次攻击时可能的数据丢失。
漏洞挖掘
很多人认为挖掘漏洞似乎是web方向的任务,但实际上,很多时候漏洞挖掘是在汇编级别的操作.学习逆向工程,对底层原理更加理解透彻.并且更多的时候是没有源代码的,挖掘漏洞就需要软件逆向
恶意代码分析
恶意代码分析是一种解剖恶意代码的艺术,了解恶意代码是如何工作的、如何识别它,以及如何战胜或消除它。
网络上每天有着数以百万计,甚至更多的恶意代码,恶意代码分析成为了任何一位从事计算机安全事件响应安全工程师的必需技能。此外,由于恶意代码分析专业人才的短缺,熟练的恶意代码分析师正处于强烈的人才需求之中。
逆向要学的理论内容
静态分析、动态分析、恶意代码审计、加壳脱壳技术等
所需的基础知识
扎实的c语言功底、数据结构、汇编语言、操作系统、密码学等
汇编知识:window下的X86和X64; android下的ARM和ARM64。
文件结构:windox下的PE文件; android下的dex文件和ELF文件。
反调试技术:window和android下的调试和反调试对抗技术。
加壳和脱壳:PE的加壳和脱壳、 ELF和dex的加壳和脱壳。
开发能力:C、C++、python等语言的开发能力。
这里先重点介绍两种技术
静态分析:分析程序指令与结构来确定功能的过程
使用反病毒软件来确认程序样本的恶意性
使用哈希(后续会讲)来识别恶意代码
从文件的字符串列表、函数和文件头信息中发掘有用信息
动态分析:在运行恶意代码之后进行检查的过程
动态分析一般在静态分析基础技术进入一个死胡同的时候进行,如恶意代码进行了混淆,或者分析师已经穷尽了静态分析技术之后。
在恶意代码运行时进行监控
恶意代码运行之后检查系统情况
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
