x86_64逆向工程基础教程<\/h1>

逆向工程概述<\/h2>
逆向工程是通过分析已编译的计算机程序来理解其行为的过程，而无需访问源代码。本教程通过一系列CrackMe程序介绍x86_64架构下的二进制逆向工程技术。<\/p>

什么是CrackMe<\/h3>

CrackMe是一类特殊的可执行程序，通常：<\/p>

要求用户输入一个参数<\/li>
对输入进行检查<\/li>

返回消息告知输入是否正确<\/li> <\/ul>

前期准备<\/h2>

所需知识<\/h3>

基本编程概念<\/li>
了解编译器的功能（无需知道实现细节）<\/li>
知道寄存器是什么（无需记住x86特定寄存器）<\/li>

推荐观看x86 Crash Course（10分钟快速入门视频）<\/li> <\/ul>

工具准备<\/h3>

基本工具：<\/strong><\/p>

GCC编译器<\/li>
objdump\/objcopy（对象检查工具）<\/li>
xxd（十六进制查看工具）<\/li>
strings（字符串提取工具）<\/li> <\/ul>
安装命令（Debian\/Ubuntu）：<\/strong><\/p>
sudo apt install build-essential gcc xxd binutils <\/span><\/span><\/code><\/pre>逆向工程工具：<\/strong><\/p> Radare2（开源逆向工程工具包）<\/li> <\/ul> CrackMe解析方法<\/h2> 基础方法：字符串分析<\/h3> crackme01解析步骤：<\/strong><\/p> 使用strings工具查看可执行文件中的字符串：<\/li> <\/ol> strings .\/crackme01.64 <\/span><\/span><\/code><\/pre> 在输出中查找可疑字符串，发现"password1"：<\/li> <\/ol> Need exactly one argument. password1 No, %s is not correct. Yes, %s is correct! <\/code><\/pre> 测试发现的密码：<\/li> <\/ol> .\/crackme01.64 password1 <\/span><\/span><\/code><\/pre>输出："Yes, password1 is correct!"<\/p> 进阶方法：反汇编分析<\/h3> crackme02解析步骤：<\/strong><\/p> 使用objdump反汇编：<\/li> <\/ol> objdump -d crackme02.64 -Mintel | less <\/span><\/span><\/code><\/pre> 分析关键代码段：<\/li> <\/ol> cmp edi,0x2 ; 检查参数数量 jne 781 ; 参数数量不正确跳转 mov rdx,QWORD PTR [rsi+0x8] ; 获取argv[1] movzx eax,BYTE PTR [rdx] ; 获取第一个字符 test al,al ; 检查是否为0 je 761 ; 如果是0则跳转到成功 cmp al,0x6f ; 比较第一个字符是否为'o' jne 794 ; 不是则跳转到失败 <\/code><\/pre> 发现密码验证逻辑：<\/li> <\/ol> 第一个字符必须是'o'<\/li> 第二个字符必须是'`'（0x60）<\/li> 后续字符基于"password1"每个字符减1<\/li> <\/ul> 计算正确密码：<\/li> <\/ol> "password1"每个字符ASCII码减1： p -> o a -> ` s -> r s -> r w -> v o -> n r -> q d -> c 1 -> 0 <\/code><\/pre> 最终密码："o`rrvnqc0"<\/p> 测试密码：<\/li> <\/ol> .\/crackme02.64 o\`<\/span>rrvnqc0 <\/span><\/span><\/code><\/pre>输出："Yes, o`rrvnqc0 is correct!"<\/p> 使用Radare2进行高级分析<\/h3> crackme03解析步骤：<\/strong><\/p> 使用Radare2打开程序：<\/li> <\/ol> r2 .\/crackme03.64 <\/span><\/span><\/code><\/pre> 执行自动分析：<\/li> <\/ol> [0x000005e0]> aaaa <\/code><\/pre> 列出函数：<\/li> <\/ol> [0x000005e0]> afl <\/code><\/pre> 查看main函数反汇编：<\/li> <\/ol> [0x000005e0]> pdf@main <\/code><\/pre> 关键发现：<\/li> <\/ol> 密码长度必须为6字节<\/li> 使用可视化模式（VV）分析控制流<\/li> 发现check_pw函数执行字符相加验证<\/li> <\/ul> 密码计算：<\/li> <\/ol> 硬编码字符串：0x426d416c 0x4164 → "lAmBdA"（注意小端序）<\/li> 每个字符加上偏移量：[2,3,2,3,5,0]<\/li> 计算结果："nDoEiA"<\/li> <\/ul> 测试密码：<\/li> <\/ol> .\/crackme03.64 nDoEiA <\/span><\/span><\/code><\/pre>数学验证方法<\/h3> crackme04解析步骤：<\/strong><\/p> 发现核心验证逻辑：<\/li> <\/ol> 输入字符串长度必须为16字符（0x10）<\/li> 所有字符ASCII码总和必须为1762（0x6e2）<\/li> <\/ul> 计算示例：<\/li> <\/ol> 1762 ÷ 16 = 110余2<\/li> 使用15个'n'(ASCII 110)和1个'p'(ASCII 112)<\/li> 测试字符串："nnnnnnnnnnnnnnnp"<\/li> <\/ul> 关键逆向工程技术总结<\/h2> 字符串分析<\/strong>：使用strings工具快速查找硬编码字符串<\/p> <\/li> 反汇编分析<\/strong>：<\/p> 使用objdump查看汇编代码<\/li> 理解x86_64调用约定（参数传递方式）<\/li> 识别常见模式（如循环、条件判断）<\/li> <\/ul> <\/li> 控制流分析<\/strong>：<\/p> 识别函数边界<\/li> 绘制控制流程图<\/li> 跟踪条件跳转和无条件跳转<\/li> <\/ul> <\/li> 寄存器使用<\/strong>：<\/p> 理解通用寄存器用途<\/li> 识别参数传递寄存器（rdi, rsi, rdx等）<\/li> 跟踪返回值（rax）<\/li> <\/ul> <\/li> 内存访问模式<\/strong>：<\/p> 识别数组\/缓冲区访问<\/li> 理解局部变量在栈上的布局<\/li> 注意小端序数据存储<\/li> <\/ul> <\/li> 工具辅助分析<\/strong>：<\/p> Radare2的自动化分析功能<\/li> 可视化模式帮助理解复杂控制流<\/li> 交叉引用分析<\/li> <\/ul> <\/li> <\/ol> 练习建议<\/h2> 教程提供了额外的练习文件（crackme01e.c, crackme02e.c等），建议：<\/p> 先尝试独立解决基础CrackMe<\/li> 再挑战练习文件巩固技能<\/li> 比较自己的解法与教程方法的异同<\/li> <\/ol> 通过系统学习和实践这些技术，您将逐步掌握x86_64平台下的二进制逆向工程核心技能。<\/p>

x86_64逆向工程基础教程<\/h1>

逆向工程概述<\/h2> 逆向工程是通过分析已编译的计算机程序来理解其行为的过程，而无需访问源代码。本教程通过一系列CrackMe程序介绍x86_64架构下的二进制逆向工程技术。<\/p>

前期准备<\/h2>

CrackMe解析方法<\/h2>

逆向工程概述<\/h2>
逆向工程是通过分析已编译的计算机程序来理解其行为的过程，而无需访问源代码。本教程通过一系列CrackMe程序介绍x86_64架构下的二进制逆向工程技术。<\/p>