静态分析与动态分析
顾名思义,静态分析就是在不运行程序的时候进行分析,相反动态分析就是在运行程序的过程中分析。比如文章(https://www.jianshu.com/p/e910b3db42bd)中的实例就是动态分析。
1. 静态分析
方法:
a. 阅读反汇编代码
b. 提取可执行文件中的字符串,分析使用了那些单词
以wsample01a.exe为例分析
工具:WinHex、IDA7.0 Freeware version
源程序:https://github.com/kenjiaiko/binarybook/tree/master/chap01/wsample01a/Release
利用WinHex打开分析.png
之后可以尝试利用IDA7.0对程序进行反汇编,这个工具可以帮助我们更好地理解汇编代码,可以选择Text View或是Graph View,用不同的视图来查看代码,可以用类似流程的方式解释梳理代码的结构。
意义:我们在完全没有源代码的情况下搞清楚了程序的行为
2. 动态分析
方法:
a. 获取文件和注册表访问日志
b. 抓取网络包
以wsample01b.exe为例分析
工具:Process Monitor
源程序:https://github.com/kenjiaiko/binarybook/blob/master/chap01/wsample01b/Release/wsample01b.exe
运行程序,打开Process Monitor查看程序相关的部分,可以通过Crl+l的方式调出过滤规则设置窗口,然后找到对应的程序日志
过滤规则.png
程序日志.png
我们发现,这个程序也在C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup的位置备份了自己的程序。
接下来可以使用调试器进一步跟踪程序逻辑。我们可以用它设断点:再任意位置中断或是恢复程序的运行,或是直接单步执行(单步跳入跳出),辨认其中的内存和变量情况。
跳入:调用函数时进入函数内部
跳出:调用函数时不进入函数内部,而是将函数调用作为一条指令来执行
OllyDbg.png
页面中分为四个部分:左上为主要反汇编窗口,左下为内存数据窗口,右上为寄存器信息,右下为当前栈信息。
一些简单的操作:可以通过Ctrl+g的方式跳转需要的位置、F2用于设置断点、F9用于启动程序、F7单步跳入、F8单步跳出(对于不需要关注的函数可以选择跳出)
总结:从分类的角度,静态分析与动态分析的区别在于“是否运行目标程序”,但是实际上不止如此,静态分析更偏重于“总览全局”,而动态分析则侧重于“细看局部”。因此在软件分析的时候,常常用WinHex和IDA看一下整体的结构,粗略地有个大体印象,知道程序在做什么,然后再根据Ollydbg单步运行查看一些细节。
参考材料:
1.《有趣的二进制·软件安全与逆向分析》【日】爱甲健二
