逆向工程課件

1、逆向工程復(fù)習(xí)一、關(guān)于考查的報(bào)告二、關(guān)于考試的內(nèi)容三、題型一、關(guān)于考查的報(bào)告1、寫(xiě)一個(gè)篇幅不少于10頁(yè)的報(bào)告；2、自選任意一款軟件，可以是商業(yè)軟件、開(kāi)源軟件、也可以是自己寫(xiě)的軟件；3、利用本課程的知識(shí)、相關(guān)的工具對(duì)上述可執(zhí)行程序進(jìn)行逆向，看一下高階視角的程序和低階視角的程序有哪些區(qū)別？并試一下優(yōu)化器的設(shè)置對(duì)它的影響；一、關(guān)于考查的報(bào)告（續(xù)）4、程序可以是本地IA-32代碼，也可以是字節(jié)碼，也可以使用現(xiàn)成的混淆器進(jìn)行處理并看處理后的結(jié)果；5、報(bào)告格式（1）軟件名稱(chēng)；（2）選該軟件的原因及目的意義；（3）工具的選擇及簡(jiǎn)介；5、報(bào)告格式（續(xù)）（4）實(shí)驗(yàn)過(guò)程、步驟和結(jié)果；（5）心得體會(huì)與收獲。6、其它要

2、求（1）標(biāo)題為四號(hào)；（2）正文為小四；（3）圖表要有編號(hào)和名稱(chēng)；（4）每頁(yè)要有頁(yè)碼；（5）行間距為1.5倍；（6）提交時(shí)間為考試后的一天為截止日期；（7）打印。二、關(guān)于考試的內(nèi)容復(fù)習(xí)第一章 基礎(chǔ)1、逆向工程概念 逆向工程是從任何 人造 的東西中提取知識(shí)或設(shè)計(jì)規(guī)劃的過(guò)程。 逆向工程是了解軟件“所作所為”的一套最重要的技術(shù)和工具。正式地講，逆向工程是“通過(guò)分析目標(biāo)系統(tǒng)以識(shí)別系統(tǒng)的組件以及這些組件之間的相互關(guān)系并創(chuàng)建該系統(tǒng)另一種形式的表示或更高級(jí)的抽象過(guò)程”。1、逆向工程概念（續(xù)）1、逆向工程概念（續(xù)） 軟件逆向工程融合了以下技術(shù)：密碼破解（code breaking）、猜字謎（puzzle sol

3、ving）、程序設(shè)計(jì)和邏輯分析。2、軟件逆向工程分類(lèi)（1）從 已知軟件 系統(tǒng)的 完整代碼 出發(fā)，生成對(duì)應(yīng)系統(tǒng)的 結(jié)構(gòu) 以及相關(guān)設(shè)計(jì) 原理 和 算法思想 的 文檔；（2）從 沒(méi)有源代碼 的程序出發(fā)，生成對(duì)應(yīng)的 源程序、系統(tǒng)結(jié)構(gòu) 以及相關(guān)設(shè)計(jì)原理 和 算法思想 的 文檔 等。3、逆向工程在軟件分析中的作用（1）軟件開(kāi)發(fā)人員可以利用逆向技術(shù)發(fā)掘如何實(shí)現(xiàn)與沒(méi)有文檔的或只有部分文檔軟件的互操作；（2）逆向可以用來(lái)確定諸如代碼庫(kù)甚至于操作系統(tǒng)這樣的第三方代碼的質(zhì)量；（3）為了提高自己的技術(shù)，有時(shí)也可以利用逆向技術(shù)從競(jìng)爭(zhēng)方的產(chǎn)品中提取有價(jià)值的信息。4、與安全相關(guān)的逆向應(yīng)用（1）在惡意軟件方面的應(yīng)用；（2）對(duì)

4、加密算法進(jìn)行逆向應(yīng)用；（3）在數(shù)字化權(quán)限管理方面應(yīng)用；（4）在審核程序的二進(jìn)制代碼方面應(yīng)用。5、什么是底層軟件 底層軟件（也稱(chēng)為系統(tǒng)軟件）是整個(gè)軟件體系基礎(chǔ)軟件（infrastructure）的統(tǒng)稱(chēng)。 底層軟件包括諸如編譯器、鏈接器（Linker）和調(diào)試器的開(kāi)發(fā)工具，諸如操作系統(tǒng)的基礎(chǔ)軟件，以及像匯編語(yǔ)言這樣的低級(jí)程序設(shè)計(jì)語(yǔ)言。6、加密算法可以粗略地分為兩類(lèi) 加密算法可以粗略地分為兩類(lèi)：約束算法（restricted algorithms）和基于密鑰的算法。7、逆向工程分為幾個(gè)階段（1）對(duì)早期程序進(jìn)行大范圍的觀察，這個(gè)階段被稱(chēng)為系統(tǒng)級(jí)逆向；（2）代碼級(jí)逆向技術(shù)能為我們提供所選定的代碼塊的詳細(xì)信

5、息。8、逆向工具主要有那些類(lèi)（1）系統(tǒng)監(jiān)控工具；（2）反匯編器；（3）調(diào)試器；（4）反編譯器；（5）轉(zhuǎn)儲(chǔ)工具；（6）修補(bǔ)工具。第二章 底層軟件1、模塊有幾種形式，分別是什么？ 模塊有兩種基本形式：靜態(tài)庫(kù)和動(dòng)態(tài)庫(kù)，這兩種形式可以組合起來(lái)構(gòu)建程序。2、數(shù)組、鏈表、樹(shù)管理數(shù)據(jù)的優(yōu)缺點(diǎn)。3、控制流語(yǔ)句的基本形式有哪些？（1）條件塊；（2）切換塊；（3）循環(huán)。4、編譯器由幾部分組成，每部分完成什么功能。 一般的編譯器包含三個(gè)基本的組件：編譯器的前端、優(yōu)化器和編譯器的后端。（1）編譯器的前端負(fù)責(zé)對(duì)源程序文本進(jìn)行譯碼、確保程序的語(yǔ)法正確且與語(yǔ)言的規(guī)范一致；第二章 底層軟件（續(xù)）（2）優(yōu)化器在保留程序原意的情

6、況下對(duì)它的各個(gè)方面進(jìn)行改進(jìn)；（3）后端負(fù)責(zé)將優(yōu)化器輸出的優(yōu)化后的代碼轉(zhuǎn)化為平臺(tái)專(zhuān)用的二進(jìn)制代碼。4、編譯器由幾部分組成，每部分完成什么功能。（續(xù)）第三章 逆向工具1、逆向方法有哪些？各有什么優(yōu)點(diǎn)和缺點(diǎn)？ 通常來(lái)說(shuō)，有兩種基本的逆向方法：離線(xiàn)分析（offline analysis）和現(xiàn)場(chǎng)分析（live analysis）。1、逆向方法有哪些？各有什么優(yōu)點(diǎn)和缺點(diǎn)？（續(xù)） 離線(xiàn)代碼分析的缺點(diǎn)（與現(xiàn)場(chǎng)分析相比）是：你需要更好的理解代碼，因?yàn)槟銦o(wú)法看到程序所處理的數(shù)據(jù)以及數(shù)據(jù)的流動(dòng)。你必須猜測(cè)程序處理的是哪些類(lèi)型的數(shù)據(jù)，而這些數(shù)據(jù)又是如何隨著代碼的執(zhí)行流動(dòng)的。2、在逆向中主要有哪些工具？（1）反匯編器；

7、（2）調(diào)試器；（3）反編譯器；（4）系統(tǒng)監(jiān)控工具；（5）修補(bǔ)工具；（6）轉(zhuǎn)儲(chǔ)工具。3、調(diào)試器分幾類(lèi)？各有什么特點(diǎn)？ 在現(xiàn)代操作系統(tǒng)中，可以將調(diào)試器粗略地分為兩種不同的風(fēng)格：用戶(hù)模式調(diào)試器和內(nèi)核模式調(diào)試器。 用戶(hù)模式調(diào)試器的缺點(diǎn)是：僅能觀察一個(gè)進(jìn)程，而且僅能觀察這個(gè)進(jìn)程中的用戶(hù)模式代碼。受限于單個(gè)進(jìn)程意味著你必須清楚地知道你想對(duì)哪個(gè)進(jìn)程實(shí)施逆向。3、調(diào)試器分幾類(lèi)？各有什么特點(diǎn)？（續(xù)） 想獲得系統(tǒng)的整體面貌而不是某個(gè)特定的進(jìn)程時(shí)，你就需要使用內(nèi)核模式調(diào)試器。與用戶(hù)模式調(diào)試器不同，內(nèi)核模式調(diào)試器不是運(yùn)行在操作系統(tǒng)之上的程序，它是與系統(tǒng)的內(nèi)核處于同等地位的組件，你能在任意給定的時(shí)刻停止整個(gè)系統(tǒng)的運(yùn)行并

8、觀察它。3、調(diào)試器分幾類(lèi)？各有什么特點(diǎn)？（續(xù)） 內(nèi)核模式調(diào)試器最強(qiáng)大的地方就是設(shè)置底層斷點(diǎn)的能力。4、目前可用的兩種虛擬機(jī)技術(shù)是Microsoft公司的Virtual PC 和VMWare公司的VMWare Workstation。3、調(diào)試器分幾類(lèi)？各有什么特點(diǎn)？（續(xù)）5、最常見(jiàn)的兩個(gè)虛擬機(jī)架構(gòu)是：運(yùn)行Java程序的Java虛擬機(jī)(JVM)和運(yùn)行Microssoft.NET應(yīng)用程序的公共語(yǔ)言運(yùn)行時(shí)（CLR）。第四章 未公開(kāi)的技術(shù) 如何找到你感興趣的地方？第五章 破譯文件格式 破譯程序的基本過(guò)程或步驟。第六章 審查程序的二進(jìn)制碼1、安全性的含義 安全性就是對(duì)系統(tǒng)信息流的控制能力。這種控制能力意味

9、著文件駐留在計(jì)算機(jī)中，不受好事的入侵者的影響，而惡意代碼則在計(jì)算機(jī)之外。2、什么是漏洞？ 漏洞本質(zhì)上是：程序中的缺陷或者缺點(diǎn)，它會(huì)危及程序、甚至是整個(gè)計(jì)算機(jī)系統(tǒng)的安全。漏洞是存在于程序中的、能夠被惡意的入侵者利用的缺點(diǎn)。3、什么是堆棧溢出？如何來(lái)避免？ 當(dāng)程序從外部世界接收數(shù)據(jù)時(shí)，不管這些數(shù)據(jù)是用戶(hù)直接輸入的還是通過(guò)網(wǎng)絡(luò)連接拷貝到堆棧中的，只要不檢查數(shù)據(jù)長(zhǎng)度就會(huì)發(fā)生簡(jiǎn)單的堆棧溢出。 這是由于堆棧的大小是固定的，因?yàn)榫幾g器產(chǎn)生的、用來(lái)訪問(wèn)堆棧的偏移量是預(yù)先確定的，并硬編碼在了機(jī)器碼中。這意味著程序不能根據(jù)要傳遞的信息量的大小動(dòng)態(tài)分配堆?？臻g，它必須為預(yù)期接收的最大數(shù)據(jù)塊在堆棧中預(yù)先分配足夠的空間

10、。3、什么是堆棧溢出？如何來(lái)避免？（續(xù)）常見(jiàn)的函數(shù)調(diào)用約定：stdcall、cdecl、fastcall、thiscall、naked call。第7章 逆向惡意軟件1、什么是惡意軟件？ 惡意軟件（Malicious software，或?qū)懽鱩alware）統(tǒng)指其行為損害系統(tǒng)用戶(hù)或系統(tǒng)所有者利益的軟件。2、惡意軟件主要有哪些類(lèi)型？（1） 病毒；（2）蠕蟲(chóng)；（3）特駱伊木馬；（4）后門(mén)；（5）移動(dòng)代碼；（6）廣告軟件和間諜軟件；3、未來(lái)的惡意軟件有哪些？（1）盜取信息的蠕蟲(chóng)；第7章 逆向惡意軟件（續(xù)）（2）BIOS/固件惡意軟件。4、惡意程序的幾種最典型的用途和設(shè)計(jì)動(dòng)機(jī)；（1）后門(mén)訪問(wèn)（Back

11、door Access）；（2）拒絕服務(wù)攻擊（Denial-of-Service Attacks,DoS）（3）汪達(dá)爾行為（Vandalism，指故意實(shí)施破壞的行為）（4）資源盜用（Resource Theft）（5）信息盜用（Information Theft）4、惡意程序的幾種最典型的用途和設(shè)計(jì)動(dòng)機(jī)（續(xù)）第8章 盜版與拷貝保護(hù)1、什么是群破解？ 當(dāng)一項(xiàng)安全技術(shù)或一種產(chǎn)品以一種會(huì)影響到其他每一個(gè)使用了該技術(shù)或該產(chǎn)品的用戶(hù)的形式失效時(shí)，就發(fā)生了群破解，在這種情況下，受到攻擊的將不僅僅是一個(gè)特定的系統(tǒng)。2、設(shè)計(jì)軟件拷貝保護(hù)方案時(shí)需要考慮的最重要的因素為？(1)抗攻擊性 不可能創(chuàng)建出一種堅(jiān)不可摧的

12、保護(hù)方案，但在這一領(lǐng)域中，研制出好與不好的拷貝保護(hù)技術(shù)所需的努力差異非常之大。(3)靈活性 軟件供應(yīng)商通常要求靈活的保護(hù)機(jī)制，而不僅僅是阻止用戶(hù)非法散布程序。 如在線(xiàn)發(fā)布、時(shí)間限制、功能限制。(2)對(duì)終端用戶(hù)透明2、設(shè)計(jì)軟件拷貝保護(hù)方案時(shí)需要考慮的最重要的因素為？（續(xù)）3、具體有哪些類(lèi)型的保護(hù)？（1）基于介質(zhì)的（media-based）保護(hù)；（2）基于序列號(hào)（serial-number-based）的保護(hù)；（3）挑戰(zhàn)響應(yīng)（challenge response）和在線(xiàn)激活（online activations）的保護(hù)；（4）基于硬件的（hardware-based）保護(hù)；（5）軟件即服務(wù)。4、為什么媒體文件比軟件更難保護(hù)？ 控制媒體文件的流動(dòng)比控制軟件的流動(dòng)還要困難，因?yàn)槊襟w文件不像軟件那樣能夠自己保護(hù)自己。第9章 反逆向技術(shù)1、反逆向有哪些基本方法？(1)消除符號(hào)信息；(2)混淆程序；(3)嵌入反調(diào)試器代碼。2、什么是控制流變換？分為哪幾類(lèi)？ 控制流變換指的是通