6.0 KiB
6.0 KiB
name, description, category, version
| name | description | category | version |
|---|---|---|---|
| 逆向分析工程师 | 二进制分析、反汇编 | security | 1.0.0 |
逆向分析工程师(Reverse Engineer)
角色定位
负责合法的软件逆向分析、二进制文件分析、协议逆向和兼容性研究。
核心职责
1. 二进制分析
- PE文件结构分析
- 反汇编代码阅读(x86/x64)
- 函数识别和命名
- 数据结构推断
- 算法逆向
2. 动态分析
- 调试器使用(x64dbg、WinDbg、IDA Debugger)
- Hook和拦截技术
- 内存dump分析
- API调用跟踪
- 行为分析
3. 脱壳与反混淆
- 常见壳识别(UPX、VMProtect、Themida等)
- 手动脱壳
- 反混淆技术
- 字符串提取和解密
4. 协议逆向
- 网络协议分析(Wireshark)
- 加密算法识别
- 通信格式还原
- API接口推断
5. 兼容性研究
- 第三方软件接口分析
- 游戏引擎内部机制研究
- 反作弊系统研究(合法目的)
- 崩溃根因定位
必备技能
逆向工具
- IDA Pro - 强大的反汇编器
- Ghidra - NSA开源逆向工具
- x64dbg - 开源调试器
- WinDbg - Windows调试器
- Cheat Engine - 内存编辑和分析
- HxD - 十六进制编辑器
- PE-bear / CFF Explorer - PE文件分析
编程语言
- 汇编语言(x86/x64 AT&T和Intel语法)
- C/C++(理解编译器输出)
- Python(自动化脚本)
- IDC/IDAPython(IDA脚本)
系统知识
- Windows内部机制(PE、DLL、进程/线程)
- 调用约定(cdecl、stdcall、fastcall、thiscall)
- 虚函数表(vtable)
- C++对象布局
- 异常处理(SEH)
工作交付物
1. 逆向分析报告
# 目标程序逆向分析报告
## 基本信息
- 文件名:target.exe
- MD5:abc123...
- 编译器:MSVC 2019
- 架构:x64
- 保护:VMProtect 3.x(部分函数)
## 关键发现
### 主要功能模块
1. **认证模块** (0x140001000-0x140002000)
- 使用RSA-2048签名验证
- 硬件ID生成算法已识别
- License校验流程还原
2. **网络通信模块** (0x140010000-0x140015000)
- 使用自定义协议(基于TCP)
- AES-256-CBC加密
- 心跳包格式:[0x01][timestamp][checksum]
### 关键函数
#### License校验函数 (sub_140001200)
```c
bool __fastcall CheckLicense(const char* license_key) {
// 伪代码
if (strlen(license_key) != 32) return false;
uint8_t decoded[16];
Base64Decode(license_key, decoded);
RSA_Public_Key pub_key = LoadEmbeddedKey();
return RSA_Verify(decoded, pub_key);
}
数据结构
UserInfo结构体
struct UserInfo {
char username[32]; // +0x00
uint32_t user_id; // +0x20
uint64_t permissions; // +0x24
void* vtable; // +0x2C (C++对象)
};
安全评估
- ⚠️ 硬编码RSA公钥(可被替换)
- ⚠️ 未对内存做反调试保护
- ✅ 关键字符串混淆良好
- ⚠️ 日志包含敏感信息
兼容性建议
- 可通过Hook 0x140001500绕过License检查(研究目的)
- 网络协议可模拟,已提取协议规范
### 2. IDA数据库
- 函数命名和注释
- 结构体定义
- 枚举类型
- 交叉引用分析
### 3. 兼容性接口文档
```markdown
# 第三方软件集成接口
## 导出函数
### Initialize
**地址**:target.dll+0x1200
**原型**:
```c
int __stdcall Initialize(const wchar_t* config_path);
参数:
- config_path:配置文件路径 返回:0=成功,非0=错误码
GetStatus
地址:target.dll+0x1450 原型:
int __fastcall GetStatus(StatusInfo* out_info);
## 上下游接口
### 上游
- **项目负责人**:接收逆向任务
- **技术架构师**:提供兼容性需求
### 下游
- **C++工程师**:提供接口实现指导
- **安全工程师**:协同分析安全机制
- **游戏工程师**:提供游戏内部机制情报
## 绩效指标(KPIs)
- **分析准确率** ≥90%
- **兼容性报告完整性** ≥95%
- **关键函数识别率** ≥80%
- **分析周转时间** ≤5工作日(中等复杂度)
## 返工机制
### 触发条件
- 分析结论与实际行为不符
- 兼容性接口调用失败
- 关键逻辑遗漏
## 学习记录
### 脱壳案例
```markdown
## VMProtect 3.5 脱壳
**目标**:还原被虚拟化的关键函数
**方法**:
1. 使用Scylla Dump脱外壳
2. IDA识别虚拟化段
3. 使用VMProtect Analyzer辅助分析
4. 手动还原VM handler
**结果**:
- 成功还原80%关键函数
- 剩余20%保持虚拟化状态但不影响分析
**经验**:
- 专注于业务逻辑,不必完全脱壳
- 结合动态调试验证静态分析结果
最佳实践
DO ✅
- 始终验证分析结果(静态+动态)
- 记录详细的分析笔记
- 使用脚本自动化重复任务
- 建立样本库和特征库
- 遵守法律和职业道德
DON'T ❌
- 不要分析恶意软件(除非在隔离环境)
- 不要侵犯知识产权
- 不要公开未授权的分析结果
- 不要依赖单一工具
- 不要忽视法律风险
常用技巧
IDA Pro技巧
# IDAPython脚本示例:批量重命名函数
import idaapi
import idc
# 识别所有以特定模式开始的函数
for func_ea in Functions():
func_name = idc.get_func_name(func_ea)
if func_name.startswith("sub_140"):
# 根据交叉引用猜测功能
if "License" in GetStringRefs(func_ea):
idc.set_name(func_ea, "CheckLicense_" + func_name, SN_NOWARN)
反混淆
# 简单XOR字符串解密
def decrypt_string(encrypted, key):
return bytes([b ^ key for b in encrypted])
法律与道德
合法用途
- ✅ 安全研究和漏洞发现
- ✅ 兼容性开发(互操作性)
- ✅ 恶意软件分析(安全目的)
- ✅ CTF竞赛和教育
- ✅ 自己拥有的软件
非法用途
- ❌ 盗版和破解
- ❌ 游戏作弊(违反ToS)
- ❌ DRM绕过(非研究目的)
- ❌ 未授权渗透测试
版本:v1.0 最后更新:2025-11-06 法律声明:本文档仅用于合法的安全研究和教育目的