这本书讲解了如何从足够底层的角度调试程序的方法,但我实际上买来是为了学习软件分析(亦即逆向分析)的,本书的作者也指出了这项技术主要应用在逆向工程上。从我目前的学习经历讲,目前应该也只有逆向分析的程序员会应用这门技术,如果这个时代还考虑从汇编级别调试一段代码的话,效率实在过分低下了(在校生除外,我觉得在校期间多麻烦一点还是很好的)。
开篇上来就丢了三个工具要我们下载,分别是Stirling,Process Moniter和Wireshark(实际本书需要的软件不只这些,实际逆向工程更不止这些)。其中Stirling是用来进行二进制层次的编辑的,是一个日本特有的软件,国内的话我一般用010 editor,大部分国内程序员应该也是用的这个软件(网上有破解版,该软件本书只用到一次)。Process Monitor是微软提供的软件,直接搜索即可。Wireshark也是免费的可以直接下载的(实际上,本书并没有用到Wireshark这一软件,但是它是所有与网络相关从业人员离不开的软件)。
Process Monitor可以发现用户调用的一些系统级的API,亦即可以检测用户的行为,在工具栏有一个过滤器,可以过滤出我们感兴趣的进程和行为,本书就利用这个软件发现了可执行文件在开机启动的文件夹(这个文件夹,即C:\Users\用户名\AppData,在现在的Winodws版本中是隐藏文件夹,不能直接通过图形化界面访问)中加入了一个文件,这种行为自然是非安全的,很可能被恶意利用。
想要不让该文件开机自启动,一种方法当然是直接删除它,另一种方法则是打开注册表(在cmd中输入regedit),在开机自启动的注册表中删除这一项,这样即使有这个文件,因为不在注册表中,也不会开机自启动了。
静态分析和动态分析区别:静态分析从代码(汇编)中分析代码行为,动态分析则是在软件执行过程中通过分析寄存器和栈等数值变化来分析行为,类似于单步调试,但目的不同。
静态分析:可以通过如010 editor这个软件直接从二进制角度分析文件数据,但这样属实是难度太大(实际上,我只见过使用010 editor这类软件分析PE文件的结构),我们一般使用反汇编神器IDA(其有免费版可以下)来分析,而且你甚至可以不用懂得汇编语言,因为在IDA反汇编出汇编代码之后,你可以按Tab键使其转变为类C语言代码,相对易懂,但代码风格比较乱,汇编代码也熟练的话建议还是看汇编代码(IDA还有很多骚操作,值得单独写一本书)
动态分析:首先可以在程序运行过程中后通过Process Monitor监测可执行文件的行为,此外,也可以直接在调试器中观察其行为,注意Process Monitor是在API级别检测行为,调试器则是在汇编代码级别检测行为。常用的调试器即OllyDbg(我使用的是吾爱破解专版的,如果有有缘人看到这篇文章并想要吾爱破解软件包的可以私信我),当然,由于其从汇编角度分析代码,因此还是需要了解些汇编语言的特性的,这些在书上写的蛮清晰的,因为汇编这个话题比较大,我很想单独写一个博文,就不在这份观后总结中写了。
第二章首先是一个实战的示例,主要用到的软件是兔耳旋风(Usami),这个软件也是在日本流行的,甚至没有中文界面,但是我也并不了解这个软件的平替,译者也没有写,所以我还是下载了这个软件,还是很不错的,可以在程序执行过程中修改其二进制位。
说到这个,这种对游戏的直接修改在我看来应该只对早期单机游戏有效,因为不涉及到在整个网络上进行排名,所以也不甚在意这种修改。但对于如今一些网络游戏(如原神),且不说其文件如此之大难以定位得分,即使真正修改了,官方应该也是有算法能修复这个修改的。鉴于本书已是2010年所著了,现在应该有比这个软件更完善的软件和技术了。
查找崩溃原因这一部分重点在于学会对软件进行实时调试,这可以通过将前文提到的调试器设置为实时调试来完成(书中有方法,现在亦可用),需要注意的是,调试器设置为实时调试后,需要将调试器放在后台一直运行才能使用(这个地方吾爱专版有问题,并不能在软件崩溃时弹出,还没找到原因)
防止被分析的技术:
这个部分就是从平常的安全程序员角度说了,首先是代码混淆技术,是一种在汇编语言层次将软件增加一些不影响运行的代码,但使反逆向过程变得复杂的技术。例如加上某些代码,会使反逆向工具将代码理解成其他的语义,但在执行时并不影响。但这种修改过于底层,而且以现在的技术容易被发现,并不常用。
现在更多的是对程序进行封包,如果对代码进行动态分析,会在某个节点陷入一个无意义的无限循环,但在执行过程并不会体现。这种加包的方式很多,但有的不是为了防止被分析而是为了压缩文件的,如UPX。现在大多包都可以被自动解,书中所述的解包方法也可以被自动化执行,所以感觉意义不大,遂不写(目前做过的CTF题主要还是见到的UPX包,由于其仅用于压缩文件,直接交给解包器就可以解了)。