思路流程
- 導出相關資訊
- 透過靜態分析工具導出函數表等相關訊息,或者透過動態分析檢查呼叫的API
- 透過段點與動態分析關鍵程式碼
關於分析
程式中的 API 可能代表各種含意,如讀寫檔、連線網路等相關資訊。
工具
相關指令
顯示dynamic relocation資料
objdump -R a.out
顯示符號表
nm ./a.out
顯示區段
readelf -x .text ./a.out
objdump -s -j .text ./a.out
反組譯
objdump -M intel -d ./a.out | less
透過python 提取PE header
import pefile
pe = pefile.PE('./example.exe')
相關連結
Reverse Engineering PWN