黑客反向工程---Ida ---list1_7exe.PPT

黑客反向工程预备知识 根据喜好选用一些工具软件 ■ 调试器---Softice ■ 反汇编器---IDA ■ 十六进制编辑器---Hiew ■ 开发包---SDK 与 DDK ■ 操作系统---Windows XP ■ 编译器---VC6.0 (C++) * chenkm@ 0551-3602824 黑客反向工程预备知识 调试器介绍： ■ Softice: 黑客们使用的主要武器。3.26版本是一个经受了时间考验的版本，它具有很好的稳定性。 ■ OllyDby：不及Softice 。 ■ TRW：国产的较好的工具。 ■ VC6自带的调试器---常用方法介绍。 ■ Debug :最古老的，最基本的---使用方法。 * chenkm@ 0551-3602824 黑客反向工程预备知识 反汇编器介绍 ■ IDA------常用功能介绍 ■ W32DASM ■ SR(Source) ■ Hex2ASM * chenkm@ 0551-3602824 黑客反向工程预备知识 十六进制编辑器： ■ Hiew---常用功能介绍 ■ FlexHex ■ Hedit ■ WinHex ■ Editor * chenkm@ 0551-3602824 黑客反向工程预备知识 ■ SDK WinAPI 函数 用于PE 文件DUMPBIN 实用工具文档资料 ■ DDK 有助于弄清楚驱动程序如何开发、工作，以及如何被攻击。包含一个非常有价值的文件NTDDK.h。 * chenkm@ 0551-3602824 黑客反向工程预备知识 ■常用汇编语言(机器)指令 ■寄存器的用途 ■堆栈---常用概念介绍 ■中断调用 ■处理器文档资料: www.I? * chenkm@ 0551-3602824 1 概述 2 热身 3 熟练使用反汇编器 4 外科手术---修改程序 5 熟练使用调试器 黑客反向工程概述 * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ * * chenkm@ chenkm@ 0551-3602824 chenkm@ 0551-3602824 chenkm@ 0551-3602824 黑客反向工程  Hacker Reverse Engineering 概 述 ■身份鉴定 ■保护方式分类 ■保护强度 * chenkm@ 0551-3602824 * 身份鉴定的保护方式分类 ■基于知识的保护 样例: 密码, 序列号。 意外情况: □合法物主对保护秘密失去兴趣而泄密。 □不能阻止非法拷贝,但非法拷贝不易得到技术支持。 ?适用： 大型公司由于市场大实力强, 因此能应对 一定程度的经济损失()。 ? 不适用：小公司市场有限(专门程序),对侵权无能为 力。只能借助“施压”和“雄辩”维权。 * chenkm@ 0551-3602824 * 保护方式分类 ■基于财产占有关系的保护 特点: 钥匙软盘 (软盘用钉子随机损坏，不能复制)。 (光盘用激光破坏)。 限制启动和拷贝次数或者期限。 ? 适用范围: 小型公司或者个人. * chenkm@ 0551-3602824 * 各种保护方式的共有缺陷 ■缺陷：所有这些机制均限制了用户合法权利。 ■谁都不愿意安装次数受限制。 ■加锁盘在某些体系结构上不能使用。 ■绕开驱动程序而直接访问设备的保护机制在某些情况下不能正常运行（兼容性）。 ■遗忘-失窃-坏簇-光盘划坏-电子钥匙“耗尽“等。 * chenkm@ 0551-3602824 * 保护类型 基于知识 基于占有关系 静止钥匙 相关钥匙对 密码 注册码 序列号 程序启动次数 扰动屏？ 加锁软盘 加锁光盘 加锁计算机 电子钥匙 主要保护类型 * chenkm@ 0551-3602824 * 保护强度 ■不能阻止逆向工程 如果保护是基于代码不会被破译或者修改这样的假设, 那么非常无力。因为现代的逆向工程十分强大，例如能自动识别库函数, 局部变量, 堆栈变量, 数据类型,分支和循环等，并且还能产生与高级语言类似的代码。 ■理想情况: 泄露保护算法应该不至于影