逆向分析 工具、加壳、安全防护篇

大家好，欢迎来到IT知识分享网。

文章目录

• * 1 逆向分析技术有什么用 

  •  * 1.1 加壳 

  • 2 常用工具

  •  * 2.1 查壳 

    •  * 2.1.1 PEID 

      • 2.1.2 EXEINFO
      • 2.1.3 Detect It Easy
    • 2.2 查询可执行文件信息

    •  * 2.2.1 loadpe 

      • 2.2.2 PE Tools
      • 2.2.3 StudyPE
    • 2.3 调试工具

    •  * 2.3.1 Ollydbg 

      • 2.3.2 X64dbg
    • 2.4 修改文件内容

    •  * 2.4.1 C32asm 

    • 2.5 资源文件

    •  * 2.5.1 Restorator 

    • 2.6 Cheat Engine

    •  * 2.6.1 查找dll文件基址 

  • 3 软件安全防护

  •  * 3.1 试用版 

    • 3.2 暗装
    • 3.3 VMProtect
    • 3.4 检测MD5
    • 3.5 网络验证
    • 3.6 保护字符串

1 逆向分析技术有什么用

软件安全是信息安全领域的重要内容，设计到软件相关的加密、解密、逆向分析、漏洞分析、安全编程以及病毒分析等。

哈喽，大家好，我是《有勇气的牛排》（全网同名）🐮🐮🐮

有问题的小伙伴欢迎在文末/评论，点赞、收藏/是对我最大的支持！！！。

1.1 加壳

1. 加壳（可执行程序资源压缩）：压缩后的程序可以直接运行。
2. 加壳的另一种方式是在二进制程序中植入一段代码，在运行的时候优先取得程序的控制权，之后在把控制权交还给原始代码，这样做得目的是隐藏程序真正的OEP（入口点，防止被激活成功教程，查壳就是为了找它）。
3. 加壳可以绕过一些杀毒软件的扫描（免杀）

加壳分类：

• 压缩壳：特点是减小软件体积大小，加密保护不是重点。
• 加密壳：此种类型比较多，不同壳侧重点不同，如单纯保护程序、提供注册机制、使用次数、使用限制等。

2 常用工具

2.1 查壳

查询可执行文件是否加壳或加密

2.1.1 PEID

2.1.2 EXEINFO

2.1.3 Detect It Easy

2.2 查询可执行文件信息

2.2.1 loadpe

LordPE，是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具，并且可以修改相关信息。

2.2.2 PE Tools

https://github.com/petoolse/petools/releases/tag/v1.9.762

2.2.3 StudyPE

2.3 调试工具

2.3.1 Ollydbg

1 、 导航条介绍

l：log data，扫描导入库
e：Executable modules，程序运行加载的动态库
t：Theeads，当前线程

• 当附加的进程点击运行后若无法运行，可能是被挂起，此时点击t，对挂起的地方，resume all threads

w：Windows，窗口
h：Handles，句柄
c：主线程模块，当前可运行的汇编代码
p：Patches，显示已修改的代码
k：调用堆栈（哪里进去、哪里出来）
b：Breakpoints，显示断点。
r：References

2 、 窗口介绍

3 、 快捷键

Ctrl+B：查找二进制字符串
易语言按钮定位：FF 55 FC 5F 5E

Ctrl+G：跟随地址表达式（找地址）

• 双击 加断点

4、指定程序运行位置起点

5、手动注入dll
StrongOD->InjectDLL->Remote Thread

2.3.2 X64dbg

2.4 修改文件内容

2.4.1 C32asm

优点：

• 快速静态反编译PE格式文件(Exe、Dll等)
• c32asm反汇编软件提供hex文件编辑功能，功能强大
• 提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能
• 提供内存反汇编功能，提供汇编语句直接修改功能，免去OPCode的直接操作的繁琐
• c32asm反汇编软件提供反编译语句彩色语法功能，方便阅读分析，能方便自定义语法色彩
• 提供输入表、输出表、参考字符、跳转、调用、PE文件分析结果等显示
• c32asm反汇编软件提供方便的跳转、调用目标地址的代码显示
• 提供汇编语句逐字节分析功能，有助于分析花指令等干扰代码。

2.5 资源文件

资源编辑、查看

2.5.1 Restorator

2.6 Cheat Engine

可以使用此工具搜索软件进程中的用户名等信息，以及值变化等。

查看内存时，可用Ctril+G进行搜索地址

2.6.1 查找dll文件基址

3 软件安全防护

3.1 试用版

即删减功能

3.2 暗装

使用多种算法不定时验证

3.3 VMProtect

vmp会在原有程序基础上加上很多混淆代码，导致激活成功教程者在很长时间内调试无果而放弃。

易语言

' 开始标志 置入代码 ({ 235, 16, 86, 77, 80, 114, 111, 116, 101, 99, 116, 32, 98, 101, 103, 105, 110, 0 }) 要保护的代码 ' 结束标志 置入代码 ({ 235, 14, 86, 77, 80, 114, 111, 116, 101, 99, 116, 32, 101, 110, 100, 0 }) 

3.4 检测MD5

检测主程序的MD5、大小、创建时间等，还有程序防止别人下断点调试（CRC检测），下断点就内存报错。

3.5 网络验证

• 通过请求返回字段的方式比较鸡肋
• 另一种方式通过“补码”，相对安全

3.6 保护字符串

https://www.couragesteak.com/article/311

接下来我将给各位同学划分一张学习计划表！

学习计划

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。