近期无聊画了这么一个图,主要是一些逆向工具集合。可能存在遗漏。
一次工作中做的图,用作二进制安全分析等等。当然会漏一些例如string等等工具
最佳配置与介绍:
声明:有些工具笔者很少用,比如string等等。该配置基本可以主打目前反病毒与二进制安全研究
Ghidra
强大静态分析工具,也支持动态调试,对差异对比功能(主力静态)。用于静态代码分析,很多功能非常人性化可以实现很轻松的标记等等
强大、开源、扩展性强,但是速度慢。
IDA Pro
强大的静态分析工具,也支持动态调试。(远程调试同样优秀),速度超快的静态代码分析。
强大、众多插件、速度快,闭源没有Ghidra扩展性强
Detect-It-Easy
强大的PE分析工具,有较全的指纹库。可以用于分析PE文件加壳加密等等情况。
开源、强大、功能性强,
Process Monitor
一款强大的进程行为监控工具,支持文件、注册表、网络、进程的监控。并且支持过滤实现指定监控。
出自微软、强大、稳定,缺点闭源和插件开发。
Process Explorer
一款强大的进程信息监控工具。与Monitor不同的是主打进程信息的监控。例如加载模块子进程线程信息等等。
出自微软、强大、稳定,缺点闭源和插件开发。
ResourceHacker
一款强大的PE文件资源管理,可以对PE文件的中的res进行分析。可以快速有定位出其捆绑和等等特殊资源样本。
强大、稳定、支持导入导出
PCHunter
一款强大的ARK工具,用于内核分析。比如:HOOK、进程、驱动等等较为底层的操作。
强大、功能全,但是最新版被商业化了笔者已定义为停更。
Windbg
目前笔者认为最为牛X的工具,支持转储、内核、进程、覆盖率等等 Windows平台任何调试与分析。笔者漏洞调试 反病毒统一使用Windbg。
其功能强大、效率高、稳定性强、支持范围广,但是基于控制台调试。
x64dbg
虽然名为x64dbg,但是可以调试Win32程序。用于调试漏洞和反病毒一样强大。
功能强大、插件多、扩展性强、图形化调试,但是只支持应用层PE文件调试
PinTools & dynamorio
两款非常强大的覆盖率收集工具,但是笔者更爱用pintools。因为精准支持插件多、编译简单等等。
至此本文就这样啦。希望有错误大佬们多多指教。
