反编译编程入门教程
① 如何反编译木马程序
木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。
RFC1244(Request for Comments:1244)中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展,木马的攻击、危害性越来越大。木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下蛛丝马迹,我们可以通过“查、堵、杀”将它“缉拿归案”。
查
1.检查系统进程
大部分木马运行后会显示在进程管理器中,所以对系统进程列表进行分析和过滤,可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较,发现异常现象。
2.检查注册表、ini文件和服务
木马为了能够在开机后自动运行,往往在注册表如下选项中添加注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载,如果在这些选项后面加载程序是你不认识的,就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名,只需稍稍改“Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细观察是很难被发现。
在Windwos NT/2000中,木马会将自己作为服务添加到系统中,甚至随机替换系统没有启动的服务程序来实现自动加载,检测时要对操作系统的常规服务有所了解。
3.检查开放端口
远程控制型木马以及输出Shell型的木马,大都会在系统中监听某个端口,接收从控制端发来的命令,并执行。通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。在命令行中输入Netstat na,可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件,运行该软件后,可以知道打开端口的进程名,进程号和程序的路径,这样为查找“木马”提供了方便之门。
4.监视网络通讯
对于一些利用ICMP数据通讯的木马,被控端没有打开任何监听端口,无需反向连接,不会建立连接,采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程,然后打开Sniffer软件进行监听,如此时仍有大量的数据,则基本可以确定后台正运行着木马。
堵
1.堵住控制通路
如果你的网络连接处于禁用状态后或取消拨号连接,反复启动、打开窗口等不正常现象消失,那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线,就可以完全避免远端计算机通过网络对你的控制。当然,亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。
2.杀掉可疑进程
如通过Pslist查看可疑进程,用Pskill杀掉可疑进程后,如果计算机正常,说明这个可疑进程通过网络被远端控制,从而使计算机不正常。
杀
1.手工删除
对于一些可疑文件,不能立即删除,有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表,接着用Ultraedit32编辑器查看文件首部信息,通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析,查看文件的导入函数列表和数据段部分,初步了解程序的主要功能。最后,删除木马文件及注册表中的键值。
2.软件杀毒
由于木马编写技术的不断进步,很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒,对于杀毒软件,一定要及时更新,并通过病毒公告及时了解新木马的预防和查杀绝技,或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。
② 怎么把二进制文件反编译
下载个反汇编的小软件:C51fby.exe ,就可以反编译成汇编程序了。不过,出来的文件会让你看得头大。
③ 怎么来反编译dll文件
我不知道你会不会编写DLL,如果会你就如果知道怎么回事了。DLL文件可以用反汇编工具查看其内容,如果你说的反编译,好象效果不会很好的。你说你想编想那样的作弊器,那就需要对解密的知识有所了解了:能用一中语言写程序,汇编语言,WINDOWS编程就是各种各样的系统函数的了解,还有就是对PE等知识的了解,一切就是一个调试程序和会写程序!
④ 如何使用Ida进行反编译
IDA Pro是目前最棒的一个静态反编译软件,是破解者不可缺少的利器!巨酷的反编译软件,破解高手们几乎都喜欢用这个软件。不会用当作经典的收藏软件也不错!
IDA Pro 并不自动的解决程序中的问题,IDA Pro 会告诉您指令的可疑之处,并不去解决这些问题。您的工作是通知 IDA 怎样去做。IDA Pro Disassembler and Debugger是一款交互式的,可编程的,可扩展的,多处理器的,Windows或Linux平台主机分析程序。
⑤ 反编译什么意思,具体该怎么用
反编译:高级语言源程序经过编译变成可执行文件,反编译就是逆过程。计算机软件逆向工程,又称计算机软件恢复工程,是指对其他软件的目标程序(如可执行程序)进行“逆向分析和研究”,从而推导出设计思想、原理、结构、算法、处理过程、操作方法等要素,等被其他软件产品使用,在某些特定情况下可能会衍生出源代码。反编译可以作为开发软件时的参考,也可以直接用于软件产品中。
(5)反编译编程入门教程扩展阅读:
如果编译过程中发现源程序有错误,编译程序应报告错误的性质和错误的发生的地点,并且将错误所造成的影响限制在尽可能小的范围内,使得源程序的其余部分能继续被编译下去,有些编译程序还能自动纠正错误,这些工作由错误处理程序完成。需要注意的是,一般上编译器只做语法检查和最简单的语义检查,而不检查程序的逻辑。
⑥ c++dll 文件如何反编译
DLL函数查看器可以查看DLL文件的内部的函数,符号等>
还可以用Dependency Walker查看PE依赖、查看DLL函数 。
你如果想反汇编整个文件,就用IDAPro,比较复杂,需要看专门的书来学习。
⑦ 谁能帮我把一个hex文件反编译为c语言文件
文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。
1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。
OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。
通过这个实例 ,相信应该能理解一个大致的流程啦。
⑧ 请教lua如何反编译,或者指点一下luadec的用法,请不要复制回答问题。
搜:Lua脚本反编译入门教程。
⑨ 怎样反编译EXE文件
目前所能见到的逆向工具没有EXE/DLL反编译工具,几位所提到的DUMPBIN、IDA、Ollydbg、DEBUG等都是反汇编工具,而不是反编译工具。
反编译工具的开发比反汇编要杂复得多的多。1992年Austin-Code公司曾写过一个DOS下的EXE2C的反编译工具,但反编译效果极差,可以说就是简单的把汇编变为C指令。2005年中国的刘涛涛又写了一个EXETOC的反编译工具,能实现简单的反编译,但也没有最终完成。目前与反编译功能较接近是的从最新的IDA从6.1开始添加了一个Hex-rays插件,可以完成一些反编译的功能。