2017.W24 - 逆向工程 (Reverse Engineering)
> 微下-击爆-流 听起来就很像中二的招数名称
## 前言 ##
之前曾经为了公司上的事情 特别研究了逆向工程
最后发现... 只要有心都是可以逆向了
然后这个天气真的很好睡 不知不觉... 就睡着了呢
## 内容 ##
逆向工程[0] 是一种技术:透过将原本的产品透过逆向分析,而找出原本产品的制造与处理过程
在软件的世界中 逆向工程就是透过各种神奇的手法
分析并理解程式的逻辑 最终找出其中的关键处并加以修改
可以从游戏破解[1] 私服[2] 找到其中的地下商机
在我之前的研究中 逆向工程会大致分为两类:静态分析、动态分析
静态分析也就是不需要将程式执行 只需要直接分析档案的内容 (机械码)
现在绝大多数的软件都运行在 x86-64[3] 的环境 相关的携械码-组合语言对应也容易找到
因此将一个软件反组译[4] 成组合语言是相对容易的
防治反组译的手法有若干种 其中最有效的方式则是利用加壳
加壳技术的概念 则是利用在原本的程式中再叠加一个程式来混淆[6]原本的程式逻辑
用一个简单的概念:
1. 原本的程式可以先用 Huffman Coding[7] 先行压缩
2. 主程式开始的逻辑则是一个 Huffman Decoder
3. 运行的时候则需先跑完整的 Decode 流程才能够执行程式
这种加壳技术 目的在于将静态逆向的难度 再叠加一层需要破解加壳的运作逻辑
想当然 这种防止逆向工程的技术并没有从根本解决
同样的 动态分析则是在程式运作的时候 透过除错器[8] 分析程式的运作流程
这种分析的优点在于可以即时的修改程式的所有内容 包含资料、执行流程等
常见的除错器包含 GDB[9]、WinDBG[10]
运作的方式都是利用系统本身提供的系统指令来做动态除错
针对动态分析的防止方法则是利用 Anti-Debugging[11]
透过若干手法 让程式本身判断是否处于 Debugger 的状态下
[0]: https://zh.wikipedia.org/wiki/%E9%80%86%E5%90%91%E5%B7%A5%E7%A8%8B
[1]: https://zh.wikipedia.org/wiki/%E6%B3%A8%E5%86%8C%E6%9C%BA
[2]: https://zh.wikipedia.org/wiki/%E7%A7%81%E4%BA%BA%E4%BC%BA%E6%9C%8D%E5%99%A8
[3]: https://zh.wikipedia.org/zh-tw/X86-64
[4]: https://zh.wikipedia.org/wiki/%E5%8F%8D%E7%B7%A8%E8%AD%AF%E5%99%A8
[5]: https://zh.wikipedia.org/wiki/%E5%8A%A0%E6%AE%BC%E5%A3%93%E7%B8%AE
[6]: https://zh.wikipedia.org/wiki/%E4%BB%A3%E7%A0%81%E6%B7%B7%E6%B7%86
[7]: https://en.wikipedia.org/wiki/Huffman_coding
[8]: https://zh.wikipedia.org/wiki/%E8%B0%83%E8%AF%95%E5%B7%A5%E5%85%B7
[9]: https://www.gnu.org/software/gdb/
[10]: http://www.windbg.org/
[11]: https://en.wikipedia.org/wiki/Debugging#Anti-debugging