Day-258-逆向工程基础与工具

# Day 279: 逆向工程基础与工具

> 应急响应系列第 19 天 | 预计阅读时间：35 分钟 | 难度：★★★★★

---

## 清单 目录

1. [逆向工程概述](#逆向工程概述)
2. [汇编语言基础](#汇编语言基础)
3. [反汇编工具](#反汇编工具)
4. [调试器使用](#调试器使用)
5. [脱壳技术](#脱壳技术)
6. [代码还原](#代码还原)
7. [实战技巧](#实战技巧)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 逆向工程概述

### 什么是逆向工程

**逆向工程（Reverse Engineering）** 是通过分析程序的二进制代码来理解其功能、结构和实现方法的过程。

### 逆向工程在应急响应中的价值

| 价值 | 说明 | 应用场景 |
|------|------|----------|
| **深度理解** | 理解恶意代码完整逻辑 | 高级威胁分析 |
| **解密配置** | 提取加密的 C2 配置 | 威胁情报提取 |
| **发现功能** | 发现隐藏功能 | 完整威胁评估 |
| **编写规则** | 基于代码特征写检测规则 | YARA/Sigma 规则 |
| **溯源分析** | 代码风格和特征比对 | 攻击者归因 |

### 逆向工程难度层次

```
┌─────────────────────────────────────────────────────────────┐
│                  逆向工程难度层次                            │
│                                                             │
│  Level 1: 字符串分析    - 提取明文 IOC                      │
│  Level 2: 静态分析      - 理解程序结构                       │
│  Level 3: 动态分析      - 观察运行时行为                     │
│  Level 4: 反汇编分析    - 理解代码逻辑                       │
│  Level 5: 脱壳/解密     - 处理保护机制                       │
│  Level 6: 完整逆向      - 重建源代码逻辑                     │
└─────────────────────────────────────────────────────────────┘
```

---

## 汇编语言基础

### x86/x64 架构基础

#### 寄存器

| 寄存器 | 用途 | 说明 |
|--------|------|------|
| **EAX/RAX** | 累加器 | 函数返回值、算术运算 |
| **EBX/RBX** | 基址寄存器 | 数据指针 |
| **ECX/RCX** | 计数寄存器 | 循环计数、函数参数 (x64) |
| **EDX/RDX** | 数据寄存器 | I/O 指针、函数参数 (x64) |
| **ESI/RSI** | 源变址 | 字符串操作源、函数参数 (x64) |
| **EDI/RDI** | 目的变址 | 字符串操作目的、函数参数 (x64) |
| **ESP/RSP** | 栈指针 | 指向栈顶 |
| **EBP/RBP** | 基址指针 | 栈帧基址 |
| **EIP/RIP** | 指令指针 | 下一条指令地址 |

#### 常见指令

| 指令 | 说明 | 示例 |
|------|------|------|
| **MOV** | 数据传送 | MOV EAX, EBX |
| **PUSH** | 压栈 | PUSH EAX |
| **POP** | 出栈 | POP EBX |
| **CALL** | 调用函数 | CALL 0x401000 |
| **RET** | 函数返回 | RET |
| **JMP** | 无条件跳转 | JMP 0x401050 |
| **JE/JZ** | 相等/为零跳转 | JE 0x401060 |
| **JNE/JNZ** | 不等/非零跳转 | JNE 0x401070 |
| **CMP** | 比较 | CMP EAX, 0 |
| **TEST** | 逻辑与测试 | TEST EAX, EAX |
| **XOR** | 异或 | XOR EAX, EAX |
| **ADD/SUB** | 加减 | ADD EAX, 1 |
| **INC/DEC** | 自增/自减 | INC EAX |
| **LEA** | 加载有效地址 | LEA EAX, [EBP-8] |
| **NOP** | 空操作 | NOP |

### 函数调用约定

#### cdecl（C 声明）

```
- 参数从右向左压栈
- 调用者清理栈
- 返回值在 EAX

示例：
push arg2
push arg1
call function
add esp, 8  ; 调用者清理
```

#### stdcall

```
- 参数从右向左压栈
- 被调用者清理栈（RET 8）
- Windows API 默认

示例：
push arg2
push arg1
call function  ; 函数内部 RET 8 清理
```

#### x64 调用约定（Windows）

```
- 前 4 个参数：RCX, RDX, R8, R9
- 额外参数压栈
- 返回值在 RAX
- 栈对齐 16 字节
```

### 栈帧结构

```
高地址
┌─────────────────┐
│  参数 n         │
│  ...            │
│  参数 2         │
│  参数 1         │
├─────────────────┤
│  返回地址       │  ← CALL 压入
├─────────────────┤
│  保存的 EBP     │  ← PUSH EBP
├─────────────────┤
│  局部变量 1     │
│  局部变量 2     │
│  ...            │
└─────────────────┘
低地址

典型函数序言：
PUSH EBP
MOV EBP, ESP
SUB ESP, X  ; 分配局部变量空间

典型函数尾声：
MOV ESP, EBP
POP EBP
RET
```

---

## 反汇编工具

### IDA Pro

#### 功能特点

- 业界标准反汇编器
- 支持多平台多架构
- 强大的图形视图
- 丰富的插件生态
- Hex-Rays 伪代码反编译

#### 基本使用

```
1. 打开样本
   - 选择处理器类型（通常 Auto）
   - 等待初始分析完成

2. 导航
   - G: 跳转到地址
   - X: 查看交叉引用
   - Esc: 返回上一位置

3. 视图切换
   - Space: 图形/文本切换
   - F5: 伪代码视图

4. 分析
   - U: 取消代码定义
   - C: 定义为代码
   - D: 定义为数据
   - A: 定义为 ASCII 字符串

5. 重命名
   - N: 重命名函数/变量
   - P: 设置函数类型
```

#### 常用快捷键

| 快捷键 | 功能 |
|--------|------|
| F5 | 伪代码 |
| G | 跳转地址 |
| X | 交叉引用 |
| N | 重命名 |
| M | 注释 |
| Y | 修改类型 |
| H | 十六进制视图 |
| Space | 视图切换 |

### Ghidra

#### 功能特点

- NSA 开源
- 免费
- 功能接近 IDA
- 支持协作分析
- 内置脚本支持

#### 基本使用

```bash
# 启动
./ghidraRun

# 项目创建
File → New Project → Non-Shared

# 导入文件
File → Import File → 选择样本

# 分析
双击文件 → Analyze → 默认选项 → OK

# 导航
- G: 跳转
- X: 交叉引用
- F5: 伪代码
```

#### Ghidra 脚本

```python
# Python 脚本示例
# 列出所有字符串

from ghidra.program.model.mem import MemoryBlock

block = currentProgram.getMemory()
for b in block.getBlocks():
    if b.getName() == ".rodata":
        print(f"String block: {b.getStart()}")
```

### radare2

#### 功能特点

- 命令行工具
- 脚本友好
- 轻量级
- 开源免费

#### 常用命令

```bash
# 打开文件
r2 malware.exe

# 分析
aaa      # 分析全部
afl      # 列出函数
pdf @ main  # 反汇编 main 函数

# 导航
s 0x401000  # 跳转到地址
s main       # 跳转到 main

# 反汇编
pd 20        # 反汇编 20 行
pdc          # 伪代码

# 字符串
iz           # 打印字符串
izz          # 打印所有字符串

# 搜索
/str http    # 搜索包含 http 的字符串
/AES         # 搜索 AES 常量

# 调试
dc           # 继续运行
db 0x401000  # 设置断点
dr           # 查看寄存器

# 退出
q
```

---

## 调试器使用

### x64dbg

#### 功能特点

- Windows 用户态调试器
- 支持 x86 和 x64
- 图形界面友好
- 插件丰富

#### 基本使用

```
1. 加载样本
   File → Open → 选择样本

2. 断点设置
   - F2: 切换断点
   - BP: 断点窗口

3. 执行控制
   - F7: 单步进入
   - F8: 单步跳过
   - F9: 运行
   - Ctrl+F2: 重启

4. 寄存器查看
   - 右侧寄存器窗口
   - 可手动修改寄存器值

5. 内存查看
   - 跟随内存转储
   - 搜索内存内容
```

#### 常用技巧

```
1. API 断点
   - 在关键 API 设置断点
   - CreateProcess, VirtualAlloc 等

2. 条件断点
   - 设置触发条件
   - 减少手动中断次数

3. 跟踪执行
   - 记录执行路径
   - 发现隐藏代码
```

### OllyDbg

#### 功能特点

- 经典 x86 调试器
- 插件丰富
- 社区支持好
- 仅支持 x86

#### 基本使用

```
1. 加载样本
2. 分析代码（自动）
3. 设置断点
4. 单步调试
5. 查看内存/寄存器
```

### WinDbg

#### 功能特点

- 微软官方调试器
- 支持内核和用户态
- 功能强大
- 学习曲线陡

#### 基本命令

```
# 启动调试
windbg -g malware.exe

# 常用命令
g          # 继续执行
p          # 单步跳过
t          # 单步进入
k          # 查看调用栈
r          # 查看寄存器
d          # 查看内存
u          # 反汇编
lm         # 列出模块
```

---

## 脱壳技术

### 常见打包器

| 打包器 | 特点 | 脱壳难度 |
|--------|------|----------|
| **UPX** | 开源、常见 | 低（可自动脱壳） |
| **ASPack** | 商业、流行 | 中 |
| **Themida** | 强保护 | 高 |
| **VMProtect** | 虚拟机保护 | 高 |
| **PECompact** | 商业 | 中 |

### UPX 脱壳

#### 自动脱壳

```bash
# 检测是否 UPX 打包
upx -t malware.exe

# 脱壳
upx -d malware.exe

# 验证
upx -t malware.exe
```

#### 手动脱壳

```
步骤：
1. 找到 OEP（Original Entry Point）
2. 在 OEP 设置断点
3. 运行到 OEP
4. 转储内存
5. 修复 IAT
```

### 通用脱壳方法

#### 内存转储法

```
原理：
打包器解压代码到内存后执行
在适当时机转储内存可获得脱壳后代码

步骤：
1. 调试器加载样本
2. 跟踪执行
3. 找到解压完成点
4. 使用插件转储（Scylla 等）
5. 修复导入表
```

#### 工具辅助

| 工具 | 用途 |
|------|------|
| **Scylla** | 导入表修复 |
| **ImpRec** | 导入表重建 |
| **PE-bear** | PE 结构分析 |
| **DumpIt** | 内存转储 |

---

## 代码还原

### 伪代码分析

#### Hex-Rays 伪代码

```c
// IDA 伪代码示例
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *Buffer;
  HMODULE hModule;
  
  hModule = GetModuleHandleA(0);
  Buffer = (char *)VirtualAlloc(0, 0x1000u, 0x3000u, 4u);
  
  if ( sub_401000(Buffer) )
  {
    CreateProcessA(0, Buffer, 0, 0, 0, 0, 0, 0, &StartupInfo, &ProcessInformation);
  }
  
  return 0;
}
```

#### 伪代码阅读技巧

```
1. 识别函数参数和返回值
2. 理解变量类型
3. 追踪数据流
4. 识别 API 调用
5. 理解控制流
```

### 控制流分析

#### 图形视图

```
IDA 图形视图：
- 绿色边框：基本块
- 绿色箭头：条件为真
- 红色箭头：条件为假
- 蓝色箭头：无条件跳转

分析要点：
- 识别循环结构
- 识别条件分支
- 识别函数调用
```

#### 复杂控制流

```
反分析技术：
- 控制流平坦化
- 垃圾代码插入
- 不透明谓词

应对方法：
- 使用 deobfuscation 插件
- 手动简化
- 关注关键路径
```

### 数据结构还原

#### 结构体识别

```c
// 识别结构体示例
struct C2Config {
    char url[256];
    int port;
    char campaign_id[32];
    int beacon_interval;
};

// 在 IDA 中定义结构体
// Local Types → 添加结构体定义
// 然后在代码中应用
```

#### 全局变量分析

```
识别方法：
1. 查找交叉引用
2. 分析访问模式
3. 推断数据类型
4. 定义结构体
```

---

## 实战技巧

### 快速分析技巧

#### 字符串定位法

```
1. 查看字符串窗口
2. 找到可疑字符串（URL、IP、命令）
3. 查看交叉引用
4. 定位使用位置
5. 逆向追踪逻辑
```

#### API 追踪法

```
1. 查看导入表
2. 识别敏感 API
3. 定位调用位置
4. 分析参数和返回值
5. 理解功能
```

#### 入口点分析法

```
1. 从入口点开始
2. 追踪主要执行路径
3. 识别关键函数
4. 逐个分析函数
5. 拼凑完整逻辑
```

### 常见模式识别

#### 进程注入模式

```c
// 典型注入代码模式
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
LPVOID lpBaseAddress = VirtualAllocEx(hProcess, NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, lpBaseAddress, payload, size, NULL);
CreateRemoteThread(hProcess, NULL, 0, lpBaseAddress, NULL, 0, NULL);
```

#### C2 通信模式

```c
// 典型 C2 通信模式
HINTERNET hInternet = InternetOpenA(userAgent, INTERNET_OPEN_TYPE_PRECONFIG, NULL, NULL, 0);
HINTERNET hConnect = InternetConnectA(hInternet, c2_server, port, NULL, NULL, INTERNET_SERVICE_HTTP, 0, 0);
HINTERNET hRequest = HttpOpenRequestA(hConnect, "POST", path, NULL, NULL, NULL, 0, 0);
HttpSendRequestA(hRequest, headers, headerLen, postData, postLen);
```

#### 持久化模式

```c
// 典型持久化代码
RegOpenKeyExA(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, KEY_SET_VALUE, &hKey);
RegSetValueExA(hKey, "MalwareName", 0, REG_SZ, (BYTE*)path, pathLen);
```

### 调试技巧

#### 反反调试

```
绕过 IsDebuggerPresent:
1. 修改返回值
2. 使用 ScyllaHide 等插件
3. 补丁二进制文件

绕过时间检测:
1. 修改 RDTSC 结果
2. 单步执行时注意超时
```

#### 关键断点

```
常用断点位置：
- 入口点
- 关键 API（CreateProcess, VirtualAlloc 等）
- 字符串引用位置
- 网络 API（InternetOpen, connect 等）
- 文件操作 API（CreateFile, WriteFile 等）
```

---

## 总结与思考

### 核心要点回顾

1. **逆向工程是深度分析手段** - 理解恶意代码本质

2. **汇编基础是必备技能** - 读懂代码才能分析

3. **工具链要熟练** - IDA/Ghidra/调试器

4. **脱壳是常见需求** - 处理保护机制

5. **实践出真知** - 大量练习提高技能

### 实战建议

1. **从简单样本开始** - 逐步提高难度

2. **建立知识库** - 记录常见模式

3. **参与社区** - 学习他人经验

4. **持续学习** - 新技术不断出现

5. **合法合规** - 仅在授权环境分析

---

## 参考资料

### 工具资源

- **IDA Pro** - https://hex-rays.com/ida-pro/
- **Ghidra** - https://ghidra-sre.org/
- **radare2** - https://rada.re/n/
- **x64dbg** - https://x64dbg.com/

### 学习资源

- **Reverse Engineering for Beginners** - https://beginners.re/
- **Practical Reverse Engineering** - 经典书籍
- **IDA Pro 书籍** - The IDA Pro Book

---

*365 天信息安全技术系列 | Day 279 | 逆向工程基础与工具*