Popular blog tags

如何拆解EXE文件?
关注问题​写回答
 
 
软件工程
黑客 (Hacker)
汇编语言
反汇编
exe
如何拆解EXE文件?
一个普通的Windows EXE文件,如何拆解分析它的结构?
关注者
6
被浏览
3,096
关注问题​写回答
​邀请回答​好问题
​添加评论
​分享

 
 
 
对特定功能部分的分析。

个人一般的流程是这样的,在拿到一个未知的exe之后。

先丢进ExeinfoPe进行简单的查看,先看是否有壳,有壳脱壳再查看一次。然后根据信息判断是否为native程序,如果是,再仔细查看区段和导入导出表和一些其他信息得到一个该程序的大概功能的印象。
如果不是native程序,或者该程序所用开发工具有专有工具,使用对应工具解析。像是dnspy/dede之类的。如果是,丢进ollydbg/x64dbg中先扫一下字符串,虽然这个操作很咸鱼,但是很有用,很容易找到一些有用的信息。再丢进ida pro里,跟踪main函数和有疑点的系统函数的调用方以及可疑字符串相关的代码。
定位到想要研究的部分,进行该部分代码的逆向、取证、修改或者其他你需要进行的工作。

 

 

1.在反编译Delphi时,PE-Expoler和DEDE配合使用,查看入口相当方便。

2.反编译MFC这样的程序比较好的工具 IDA蛮好用的,静态调试工具的王者理所应当是功能极为强大的IDA Pro;

IDA Pro是一款强大的反汇编软件,特有的IDA视图和交叉引用,可以方便理解程序逻辑和快速定位代码片断,以方便修改。 

IDA PRO 简称IDA ,英文:Interactive Disassembler的缩写。它是由HEX RAY SA 公司开发的,一家多年以来从事二进制代码反编译C的软件安全公司,其公司的旗舰产品就是著名的Hex-Rays.Decompiler(是IDA PRO的插件)

官网:download: https://www.hex-rays.com/products/ida/support/download_demo.shtml MFCSpy 直接可以解析出按钮地址;

OllyDBG,可以用OD去反编译,就动态调试而言,OD更为灵活和强大。

OD调试学习笔记7—去除未注册版软件的使用次数限制(1-7)

LordPE pe_view

3.Process Monitor

download:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

文件和注册表监视工具一般用process monitor,以前是用Filemon监视文件,Regmon监视注册表,现在process monitor可以监视两种操作。其实这些工具都是同一个人写的,现在两个工具合并成一个了。说句题外话,这个作者就是写《深入解析windows操作系统》的作者,这本书的权威性对搞windows内核开发的可以说无人不晓,做逆向的话也很有必要好好读读这本书。

https://technet.microsoft.com/en-us/sysinternals/bb896645 download url 用Process Monitor查看一个http请求都读取了哪些文件的例子。 打开Process Monitor,点击“Filter”,然后添加以下几个过滤条件“Include Process Name is Apache.exe”(我用的Web Server是apache),"Include Operation is ReadFile", "Include Event Class is File System" 点击OK。

 4.具Reflector 支持四种语言:IL,VB.net,C#,Delphi http://www.aisto.com/roeder/dotnet/ .

 

windows程序逆向工具汇总

https://blog.csdn.net/joeleechj/article/details/7983302