x86_64逆向工程简介

字数 1508 2025-08-20 18:17:41

x86_64逆向工程基础教程

逆向工程概述

逆向工程是通过分析已编译的计算机程序来理解其行为的过程，而无需访问源代码。本教程通过一系列CrackMe程序介绍x86_64架构下的二进制逆向工程技术。

什么是CrackMe

CrackMe是一类特殊的可执行程序，通常：

要求用户输入一个参数
对输入进行检查
返回消息告知输入是否正确

前期准备

所需知识

基本编程概念
了解编译器的功能（无需知道实现细节）
知道寄存器是什么（无需记住x86特定寄存器）
推荐观看x86 Crash Course（10分钟快速入门视频）

工具准备

基本工具：

GCC编译器
objdump/objcopy（对象检查工具）
xxd（十六进制查看工具）
strings（字符串提取工具）

安装命令（Debian/Ubuntu）：

sudo apt install build-essential gcc xxd binutils

逆向工程工具：

Radare2（开源逆向工程工具包）

CrackMe解析方法

基础方法：字符串分析

crackme01解析步骤：

使用strings工具查看可执行文件中的字符串：

strings ./crackme01.64

在输出中查找可疑字符串，发现"password1"：

Need exactly one argument.
password1
No, %s is not correct.
Yes, %s is correct!

测试发现的密码：

./crackme01.64 password1

输出："Yes, password1 is correct!"

进阶方法：反汇编分析

crackme02解析步骤：

使用objdump反汇编：

objdump -d crackme02.64 -Mintel | less

分析关键代码段：

cmp edi,0x2      ; 检查参数数量
jne 781          ; 参数数量不正确跳转

mov rdx,QWORD PTR [rsi+0x8]  ; 获取argv[1]
movzx eax,BYTE PTR [rdx]     ; 获取第一个字符
test al,al                   ; 检查是否为0
je 761                       ; 如果是0则跳转到成功

cmp al,0x6f     ; 比较第一个字符是否为'o'
jne 794         ; 不是则跳转到失败

发现密码验证逻辑：

第一个字符必须是'o'
第二个字符必须是'`'（0x60）
后续字符基于"password1"每个字符减1

计算正确密码：

"password1"每个字符ASCII码减1：
p -> o
a -> `
s -> r
s -> r
w -> v
o -> n
r -> q
d -> c
1 -> 0

最终密码："o`rrvnqc0"

测试密码：

./crackme02.64 o\`rrvnqc0

输出："Yes, o`rrvnqc0 is correct!"

使用Radare2进行高级分析

crackme03解析步骤：

使用Radare2打开程序：

r2 ./crackme03.64

执行自动分析：

[0x000005e0]> aaaa

列出函数：

[0x000005e0]> afl

查看main函数反汇编：

[0x000005e0]> pdf@main

关键发现：

密码长度必须为6字节
使用可视化模式（VV）分析控制流
发现check_pw函数执行字符相加验证

密码计算：

硬编码字符串：0x426d416c 0x4164 → "lAmBdA"（注意小端序）
每个字符加上偏移量：[2,3,2,3,5,0]
计算结果："nDoEiA"

测试密码：

./crackme03.64 nDoEiA

数学验证方法

crackme04解析步骤：

发现核心验证逻辑：

输入字符串长度必须为16字符（0x10）
所有字符ASCII码总和必须为1762（0x6e2）

计算示例：

1762 ÷ 16 = 110余2
使用15个'n'(ASCII 110)和1个'p'(ASCII 112)
测试字符串："nnnnnnnnnnnnnnnp"

关键逆向工程技术总结

字符串分析：使用strings工具快速查找硬编码字符串
反汇编分析：
- 使用objdump查看汇编代码
- 理解x86_64调用约定（参数传递方式）
- 识别常见模式（如循环、条件判断）
控制流分析：
- 识别函数边界
- 绘制控制流程图
- 跟踪条件跳转和无条件跳转
寄存器使用：
- 理解通用寄存器用途
- 识别参数传递寄存器（rdi, rsi, rdx等）
- 跟踪返回值（rax）
内存访问模式：
- 识别数组/缓冲区访问
- 理解局部变量在栈上的布局
- 注意小端序数据存储
工具辅助分析：
- Radare2的自动化分析功能
- 可视化模式帮助理解复杂控制流
- 交叉引用分析

练习建议

教程提供了额外的练习文件（crackme01e.c, crackme02e.c等），建议：

先尝试独立解决基础CrackMe
再挑战练习文件巩固技能
比较自己的解法与教程方法的异同

通过系统学习和实践这些技术，您将逐步掌握x86_64平台下的二进制逆向工程核心技能。

x86_ 64逆向工程基础教程逆向工程概述逆向工程是通过分析已编译的计算机程序来理解其行为的过程，而无需访问源代码。本教程通过一系列CrackMe程序介绍x86_ 64架构下的二进制逆向工程技术。什么是CrackMe CrackMe是一类特殊的可执行程序，通常：要求用户输入一个参数对输入进行检查返回消息告知输入是否正确前期准备所需知识基本编程概念了解编译器的功能（无需知道实现细节）知道寄存器是什么（无需记住x86特定寄存器）推荐观看x86 Crash Course（10分钟快速入门视频）工具准备基本工具： GCC编译器 objdump/objcopy（对象检查工具） xxd（十六进制查看工具） strings（字符串提取工具）安装命令（Debian/Ubuntu）：逆向工程工具： Radare2（开源逆向工程工具包） CrackMe解析方法基础方法：字符串分析 crackme01解析步骤：使用strings工具查看可执行文件中的字符串：在输出中查找可疑字符串，发现"password1"：测试发现的密码：输出："Yes, password1 is correct !" 进阶方法：反汇编分析 crackme02解析步骤：使用objdump反汇编：分析关键代码段：发现密码验证逻辑：第一个字符必须是'o' 第二个字符必须是' ` '（0x60）后续字符基于"password1"每个字符减1 计算正确密码：最终密码："o ` rrvnqc0" 测试密码：输出："Yes, o `rrvnqc0 is correct !" 使用Radare2进行高级分析 crackme03解析步骤：使用Radare2打开程序：执行自动分析：列出函数：查看main函数反汇编：关键发现：密码长度必须为6字节使用可视化模式（VV）分析控制流发现check_ pw函数执行字符相加验证密码计算：硬编码字符串：0x426d416c 0x4164 → "lAmBdA"（注意小端序）每个字符加上偏移量：[ 2,3,2,3,5,0 ] 计算结果："nDoEiA" 测试密码：数学验证方法 crackme04解析步骤：发现核心验证逻辑：输入字符串长度必须为16字符（0x10）所有字符ASCII码总和必须为1762（0x6e2）计算示例： 1762 ÷ 16 = 110余2 使用15个'n'(ASCII 110)和1个'p'(ASCII 112) 测试字符串："nnnnnnnnnnnnnnnp" 关键逆向工程技术总结字符串分析：使用strings工具快速查找硬编码字符串反汇编分析：使用objdump查看汇编代码理解x86_ 64调用约定（参数传递方式）识别常见模式（如循环、条件判断）控制流分析：识别函数边界绘制控制流程图跟踪条件跳转和无条件跳转寄存器使用：理解通用寄存器用途识别参数传递寄存器（rdi, rsi, rdx等）跟踪返回值（rax）内存访问模式：识别数组/缓冲区访问理解局部变量在栈上的布局注意小端序数据存储工具辅助分析： Radare2的自动化分析功能可视化模式帮助理解复杂控制流交叉引用分析练习建议教程提供了额外的练习文件（crackme01e.c, crackme02e.c等），建议：先尝试独立解决基础CrackMe 再挑战练习文件巩固技能比较自己的解法与教程方法的异同通过系统学习和实践这些技术，您将逐步掌握x86_ 64平台下的二进制逆向工程核心技能。