软件逆向技术

《软件逆向技术》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、软件逆向技术课程目录概述基础知识常用工具案例总结概述软件逆向的概念可执行文件绕过软件限制源代码逆向算法或功能设计文档还原程序源代码概述软件逆向的意义避免重复劳动，提高软件生产的效率和质量更好的研究和学习先进的软件技术加深对高级语言的实现机制的了解概述软件逆向的应用软件破解软件开发病毒分析漏洞分析概述软件逆向的一般步骤•研究保护方法，去除保护功能①•反汇编目标软件，定位功能函数②•分析汇编代码③•修改汇编代码或还原高级源代码④课程目录概述基础知识常用工具案例总结基础知识数据结构基础知识栈的结构栈的工作原理汇编基础知识源代码编译过程常见的汇编指令高级语言基础知

2、识流程控制语句的汇编格式文件结构基础知识PE文件结构系统编程基础知识Windows消息机制常见的系统函数基础知识数据结构基础知识栈的结构栈顶ValueA内存增ValueB长方向栈底基础知识数据结构基础知识栈的工作原理#includeusingnamespacestd;栈顶Sum内Sum处返回地址intSum(inti){存1returni==1?1:(i+Sum(i-1));增Sum}长Main处返回地址方voidmain()向2{main_tmainCRTStartucout<

3、m("pause");}基础知识110001110100010111111000000000010000000000000000000机器代码00000100010110100010111111000100000111100000000000010100010010100010111101100movdwordptrss:[ebp-0x8],0x1moveax,dwordptrss:[ebp-0x8]汇编代码addeax,0x2movdwordptrss:[ebp-0x14],eaxinta=1;高级代码intb=a+2;基础知识汇编基础知识源代码编译过程编译型

4、语言解释型语言编译编译链接中间代码机器代码基础知识MOVADDRDATA常见的汇编指令MOVREGDATAPOPPUSHCALL函数栈顶返回地址内函数参数存CALL增长函数方向返回地址栈底基础知识高级语言基础知识流程控制语句的汇编格式高级语言汇编语言IF(表达式)表达式{JXXELSE语句1;语句1}JMPENDELSEELSE:{语句2语句2;END:}语句3语句3;基础知识高级语言基础知识流程控制语句的汇编格式高级语言汇编语言BEGIN:WHILE(表达式)表达式{JXXEND语句1;语句1}JMPBEGIN语句2;END:语句2基础知识高级语言基础知识

5、流程控制语句的汇编格式高级语言汇编语言DOBEGIN:{语句1语句1;表达式}WHILE(表达式)JXXBEGIN语句2;语句2基础知识PE文件结构基础知识PE文件结构基础知识PE文件结构IMAGE_DOS_HEADERSTRUCT{+0hWORDe_magic//MagicDOSsignatureMZ(4Dh5Ah)………+3chDWORDe_lfanew//OffsettostartofPEheader指向PE文件头}IMAGE_DOS_HEADERENDSIMAGE_NT_HEADERSSTRUCT{+0hDWORDSignature+4hIMAGE_FI

6、LE_HEADERFileHeader+18hIMAGE_OPTIONAL_HEADER32OptionalHeader}IMAGE_NT_HEADERSENDS基础知识PE文件结构typedefstruct_IMAGE_OPTIONAL_HEADER{//Standardfields.+18hWORDMagic;//标志字,ROM映像（0107h）,普通可执行文件（010Bh）……+1ChDWORDSizeOfCode;//所有含代码的节的总大小+20hDWORDSizeOfInitializedData;//所有含已初始化数据的节的总大小+24hDWORDSi

7、zeOfUninitializedData;//所有含未初始化数据的节的大小+28hDWORDAddressOfEntryPoint;//程序执行入口RVA+2ChDWORDBaseOfCode;//代码的区块的起始RVA+30hDWORDBaseOfData;//数据的区块的起始RVA基础知识PE文件结构//NTadditionalfields以下是属于NT结构增加的领域。+34hDWORDImageBase;//程序的首选装载地址+38hDWORDSectionAlignment;//内存中的区块的对齐大小+3ChDWORDFileAlignment;//文件

8、中的区块的