Shellcode动态分析实战教学文档<\/h1>

1. 二进制文件初步分析<\/h2>

1.1 文件基本信息分析<\/h3>
首先使用file<\/code>命令查看二进制文件的基本信息：<\/p>
ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter \/lib64\/ld-linux-x86-64.so.2, BuildID[sha1]=..., for GNU\/Linux 3.2.0, stripped
<\/code><\/pre>
关键信息：<\/p>

ELF<\/strong>: Linux系统下最常见的可执行文件格式<\/li>
64-bit<\/strong>: x86-64架构<\/li>
LSB<\/strong>: 小端字节序<\/li>
pie executable<\/strong>: 位置无关可执行文件，加载时可随机分配内存地址<\/li>
<\/ul>
1.2 安全机制检查<\/h3>
使用checksec<\/code>检查文件的安全保护机制：<\/p>
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled
<\/code><\/pre>
安全机制说明：<\/p>

RELRO(Relocation Read-Only)<\/strong>: 重定位表只读保护<\/li>
Stack Canary<\/strong>: 栈溢出检测机制<\/li>
NX(No-eXecute)<\/strong>: 不可执行内存保护<\/li>
PIE(Position-Independent Executable)<\/strong>: 位置无关可执行文件<\/li>
<\/ul>
2. 静态分析<\/h2>
2.1 字符串分析<\/h3>
使用strings<\/code>命令查找可能的明文IP和端口信息：<\/p>
strings binary_file
<\/code><\/pre>
2.2 IDA Pro静态分析<\/h3>

将文件拖入IDA Pro，自动识别架构<\/li>
查看导入表，寻找网络相关函数（如connect等）<\/li>
分析main函数流程<\/li>
<\/ol>
关键发现：<\/p>

IP地址不是明文存储<\/li>
通过memcpy<\/code>将数据复制到内存中<\/li>
需要动态调试获取实际IP和端口信息<\/li>
<\/ul>
3. 动态调试分析<\/h2>
3.1 GDB调试准备<\/h3>

启动GDB：<\/li>
<\/ol>
gdb .\/binary_file
<\/code><\/pre>

查看文件入口点：<\/li>
<\/ol>
info files
<\/code><\/pre>

在入口点设置断点：<\/li>
<\/ol>
b *0x1240
<\/code><\/pre>

运行程序：<\/li>
<\/ol>
run
<\/code><\/pre>
3.2 调试过程<\/h3>

删除初始断点（如果需要）：<\/li>
<\/ol>
del 1
<\/code><\/pre>

使用ni<\/code>（next instruction）步过指令：<\/li>
<\/ol>
ni
<\/code><\/pre>


重复执行直到看到main函数地址（可连续按回车）<\/p>
<\/li>

使用si<\/code>（step into）步入main函数：<\/p>
<\/li>
<\/ol>
si
<\/code><\/pre>

在main函数地址设置断点（例如0x55555555540a）：<\/li>
<\/ol>
b *0x55555555540a
<\/code><\/pre>

继续执行到断点：<\/li>
<\/ol>
c
<\/code><\/pre>


使用n<\/code>（next）重复执行直到看到call rax<\/code>指令<\/p>
<\/li>

进入call rax<\/code>：<\/p>
<\/li>
<\/ol>
si
<\/code><\/pre>
3.3 关键数据获取<\/h3>

继续执行直到看到syscall<\/code>指令<\/li>
观察寄存器中的值，特别是：

连接相关的系统调用（如connect）<\/li>
IP地址和端口信息（通常以16进制形式存储）<\/li>
<\/ul>
<\/li>
<\/ol>
4. 数据转换与分析<\/h2>
4.1 IP地址转换<\/h3>
从调试中获取的16进制IP地址需要转换为点分十进制格式：<\/p>
例如：0x0100007F -> 127.0.0.1
<\/code><\/pre>
转换方法：<\/p>

将16进制值转换为小端序<\/li>
每8位（2个16进制数字）转换为一个十进制数<\/li>
<\/ol>
4.2 端口号转换<\/h3>
端口号通常以网络字节序（大端）存储：<\/p>
例如：0x1F90 -> 8080
<\/code><\/pre>
5. Shellcode分析技巧<\/h2>
5.1 识别Shellcode特征<\/h3>

观察不寻常的系统调用序列<\/li>
查找网络操作相关的系统调用（socket, connect, send等）<\/li>
注意加密或编码的数据区域<\/li>
<\/ol>
5.2 动态分析要点<\/h3>


内存转储<\/strong>：在关键点转储内存内容<\/p>
x\/32xb $rax
<\/code><\/pre>
<\/li>

寄存器监控<\/strong>：关注系统调用前的寄存器设置<\/p>

RAX: 系统调用号<\/li>
RDI, RSI, RDX: 参数<\/li>
<\/ul>
<\/li>

调用跟踪<\/strong>：使用backtrace<\/code>查看调用栈<\/p>
<\/li>
<\/ol>
6. 常见挑战与解决方案<\/h2>
6.1 反调试技术应对<\/h3>

检测调试器<\/strong>：修改环境变量或使用catch syscall ptrace<\/code><\/li>
代码混淆<\/strong>：结合静态和动态分析，关注实际执行路径<\/li>
时间延迟<\/strong>：设置断点跳过无关代码<\/li>
<\/ol>
6.2 PIE处理技巧<\/h3>


使用GDB的pie<\/code>命令：<\/p>
set stop-on-solib-events 1
<\/code><\/pre>
<\/li>

在程序加载后获取实际地址：<\/p>
info proc mappings
<\/code><\/pre>
<\/li>

使用相对地址设置断点<\/p>
<\/li>
<\/ol>
7. 工具链推荐<\/h2>


静态分析<\/strong>：<\/p>

IDA Pro<\/li>
Ghidra<\/li>
Radare2<\/li>
<\/ul>
<\/li>

动态分析<\/strong>：<\/p>

GDB（增强版：GEF\/PEDA\/Pwndbg）<\/li>
strace\/ltrace<\/li>
Frida<\/li>
<\/ul>
<\/li>

辅助工具<\/strong>：<\/p>

checksec<\/li>
strings<\/li>
xxd\/hexdump<\/li>
<\/ul>
<\/li>
<\/ol>
8. 总结流程<\/h2>

初步文件分析（file, checksec, strings）<\/li>
静态反汇编（IDA\/Ghidra）<\/li>
识别关键代码区域<\/li>
动态调试验证<\/li>
数据提取与转换<\/li>
结果验证<\/li>
<\/ol>
通过这套方法，可以有效分析包含隐藏网络连接的Shellcode或恶意代码，提取出关键的IP和端口信息。<\/p>