exe类别文档是windows的DLL,次要就继续施行的文本是标识符校对后的十进造号令,恒定而言,假设并不是某一JavaScript拆箱成的DLL,是没有配套办法间接透过单纯的辅助东西看见源标识符的,windowsDLL类别叫做PE文档表述的文件格局如下表所示:
能看见有DOS头,NT头内部构造,在NT头内部构造中常有统计数据的瞄准号令运转的门商标。
凡是恒定校对的情况下,号令会贮存在.text的section中,那里头次要就是留存他们校对后的十进造号令。
编订是十进造号令的预设值,因而他们是能透过从运转门商标已经起头导出十进造号令来查阅到编订标识符的,那叫做反编订。预测整座DLL的撰写操做过程叫做反校对或是逆向工程。
windows上能做反校对的辅助东西凡是有三种,动态增容否则会用x64dbg (x64dbg开放源代码动态增容辅助东西) ,动态预测最牛逼的辅助东西是IDA,阿谁应用软件收费项目极高,但现阶段而言最强悍,能预测形形色色收集平台上的DLL,IDA有位出名的F5应用法式,是能把编订转成c词汇,有记号的情况下效用会较佳(总之不成能将跟源代码完全一致),但协助认知标识符办法论效用会很便利快速。
除此之外两个英国NSA开放源代码的辅助东西叫做Ghidra,阿谁辅助东西是java撰写,全力撑持虚拟化运转,效用跟ida类似于,能做为另两个取代的优先选择。
下列是ghidra的效用图
0