中国科技大学计算机系：《黑客反向工程》课程教学资源（PPT课件讲稿）黑客反向工程导论（陈凯明）

黑客反向工程导论 中国科技大学计算机系 63606975 1

1 黑客反向工程导论 中国科技大学计算机系 63606975

什么是黑客？ 黑客一词，源于英文Hacker,原指热 心于计算机技术，水平高超的电脑专家， 尤其是程序设计人员。 今天黑客一词已被用于泛指那些专门 利用电脑搞破坏或恶作剧的家伙-Cracker (“骇客”)

3 什么是黑客？ 黑客一词，源于英文Hacker，原指热 心于计算机技术，水平高超的电脑专家， 尤其是程序设计人员。 今天黑客一词已被用于泛指那些专门 利用电脑搞破坏或恶作剧的家伙-Cracker (“骇客”)

初级黑客的学习和常见动作 看文章收集资料 二、实战训练 三、自己制作动画与写文章 http://soft.yesky.com /security/hkji/1 70/3462670all.shtml#p3462670 黑客术语，灰鸽子配置与使用，网站木马制作，网 站入侵，木马特征码修改等. 4

初级黑客的学习和常见动作 ◼ 一、看文章,收集资料 ◼ 二、实战训练 ◼ 三、自己制作动画与写文章 http://soft.yesky.com/security/hkjj/1 70/3462670all.shtml#p3462670 黑客术语,灰鸽子配置与使用,网站木马制作,网 站入侵, 木马特征码修改等. 4

技术型黑客常用工具 黑客领域是专业知识要求极高的行当。具有 C/C++编程语言，汇编语言和机器硬件等知 识，熟悉Windows等操作系统 黑客是辛勤劳作代名词，需要为自己收集必 要的黑客工具。但如此众多工具，该如何选 择，怎样才能不迷失方向？ 5

技术型黑客常用工具 ◼ 黑客领域是专业知识要求极高的行当。具有 C/C++编程语言,汇编语言和机器硬件等知 识,熟悉Windows等操作系统。 ◼ 黑客是辛勤劳作代名词，需要为自己收集必 要的黑客工具。但如此众多工具，该如何选 择，怎样才能不迷失方向？ 5

0.VC高级语言调试器 ■查看二进制程序. ■执行，跟踪和调试， ■反汇编. ·高级语言与汇编语言对应关系. ■其他功能. 6

0. VC高级语言调试器 ◼ 查看二进制程序. ◼ 执行,跟踪和调试. ◼ 反汇编. ◼ 高级语言与汇编语言对应关系. ◼ 其他功能. 6

1.调试器 ■SoftIce:Windows平台下的最好的调试工具 之一，是具有高级命令接口的交互式工具，并 被并入到DriverStudio框架，DriverStudio 3.2是其最后一版。 ■OllyDbg:便捷的面向黑客的应用程序级调试 器，支持插件机制，自动确定打包程序的原 始入口位置。 7

1. 调试器 ◼ SoftIce: Windows平台下的最好的调试工具 之一,是具有高级命令接口的交互式工具,并 被并入到DriverStudio 框架, DriverStudio 3.2 是其最后一版。 ◼ OllyDbg: 便捷的面向黑客的应用程序级调试 器，支持插件机制,自动确定打包程序的原 始入口位置。 7

3A8●035e00g0 丰B:00 BE6GFC E0X在009G0eG0 EDKK0GBE7TEC E5100000000 ED13006E70F0 E9P年U02BG50 CEPS00T 1D0SC E【P17E92E元可 od16zsP日 Cs=0019 Ds￥0e2] 5570023 e5B62￥Fs￥0033 6s-0000 60101808Et7Ec毛e65T96669毛c852Ei461740000001B0eA●yFi10dBt. 00101006ET7f℃7201160073011E0-69E01B0的6Fe01e00 10 0010 GOBET80C GE 0I 18 00 20 01 1B 00-C4 00 18 Go C4ED 18-00 001o克8阳E781CC4E61B0电C4sB1日e0c年F91甲00C4E81B00 e01日77E32B88 H伯 T7E9DD3月 KERNEL32Cr●at●F11eA 001B士T7E32B80PU5H ESP 白日日TE92B0E HOU EBPESP 001#71E92890 PUSH DWORD PIR(E在PO61 001在77E02693 CALL 77E04D91 001B71E92898 TEST EAX王的网 0016779289m 2 77E起2855 001日77E02划60 e Dw0R0PTR1EB中*2g】 0018TTE92m月 PUSH DWORD RTRIEBF+101 NTICE-Lood32 START 71760000 SIZE:29800 KPEBT811871C0 Moodsquory NIICE Lo8d32 STARTA7GAE0000 512E3Ee09KEB:811B71c0TH00:6o31白52 NTICE: Load32 START-71736000 s12E41E006 KPEB-811871C0 MOD-dsuiezt NTICE:LORd32-START-778F0000 s2E=1000 KPEB-多i1日71C0M00ntd年图 TICE上o6u32sTR年年773Go0e0:52E2e0 KPEB#3181c0尼M0Daet1e0d NTICE Lbed32 START71330000 SIZER22000 xpEB年8的TaT1CD5m0bEam1p图 NTICE目 toad32s可RFG727D00地0 $2E:10000 KPEB=811871C0 MOD-Hinopoo1 H1cEUh1oad32起HD0=H1×6R bpx CreateFilen Brookdue to BPX KERNEL32ErcatFR (ET26406condo 图1.1 SoftICE是面向专业人士的调试器 8

8

型野 44 样间t卡：车5以智 图1.4快速精干的OllyDbg 9

9

2.反汇编器 DA Pro是非常适合专业人员的反汇编器。 ■编译多种文件格式. ■支持多处理器类型 ■轻松处理]ava和.NET虚拟机字节码. ■支持宏插件和脚本语言. ■识别库函数名. ■支持MS-DOS,Vindows和Linux. 10

2. 反汇编器 IDA Pro 是非常适合专业人员的反汇编器。 ◼ 编译多种文件格式. ◼ 支持多处理器类型. ◼ 轻松处理Java 和.NET 虚拟机字节码. ◼ 支持宏,插件和脚本语言. ◼ 识别库函数名. ◼ 支持MS-DOS,Windows和Linux. 10

山的的二 4 图1.7 DA Pro反汇编器的控制台版本 11

11