逆向工程与二进制文件分析技巧

1、尝试对你喜欢的游戏的任何二进制文件进行逆向工程，包括高分文件、资源等。

可以采用内存快照比较的方法。以8位计算机游戏为例，若游戏已加载，已知当前有100发子弹，可对所有内存进行“快照”并备份。射击一次后子弹数变为99，再进行第二次“快照”，比较两次快照，能找出初始为100现在为99的字节，从而确定存储子弹数量的内存地址。在反汇编的游戏代码中搜索该地址的所有引用，找到减少子弹数量的代码段，写入NOP指令，就能让游戏一直有100发子弹。

对于高分文件，记录当前分数并备份文件，分数变化后比较两个文件，可用DOS实用程序FC进行比较，找出不同的字节，确定存储分数的字节。

对于游戏资源文件，可通过保存不同状态下的游戏文件，使用简单的DOS/Windows FC实用程序进行二进制比较，找出变化的字节，分析资源的存储情况。

2、存在一些已知结构的二进制文件，如utmp/wtmp文件，尝试在没有文档的情况下理解其结构。

可通过查看文件的字节分布、数据排列规律、不同部分的数据特征等方式，结合对系统日志文件常见结构的认知，来尝试理解 utmp/wtmp 文件的结构。例如，分析文件中固定长度的字段、数据的存储格式、不同数据块之间的关联等。还可以编写简单的程序读取文件内容并进行分析。

3、JPEG文件中的EXIF头有文档说明，但你可以尝试在没有帮助的情况下理解其结构：在不同的日期/时间、地点拍摄照片，然后在EXIF中找到日期/时间和GPS位置。接着尝试修改GPS位置，将JPEG文件上传到Facebook，观察它会如何在地图上显示你的照片。

可以通过在不同时间和地点拍摄照片，在EXIF中找日期、时间和GPS位置，修改GPS位置后上传JPEG文件到Facebook，观察照片在地图上的显示情况，以此在无帮助的情况下理解EXIF头结构。

4、尝试在MP3文件中修改任何信息，看看你喜欢的MP3播放器会有什么反应。

要完成此操作，可按以下步骤进行：

1. 备份MP3文件，防止修改失误导致文件损