安全逆向工程学习路线

安全逆向工程学习路线

一、基础准备阶段

计算机体系结构

理解CPU工作原理（寄存器、指令周期）

内存管理：堆栈结构、内存分段与分页

汇编语言基础：x86/x64（重点）、ARM/MIPS（移动端/嵌入式）

操作系统核心概念

Windows/Linux内核机制（系统调用、进程/线程管理）

可执行文件格式：PE（Windows）、ELF（Linux）、Mach-O（macOS/iOS）

动态链接库（DLL/SO）加载机制

编程语言能力

C/C++（理解指针、内存布局、数据结构）

Python（自动化分析脚本）

基础Shell脚本（Linux环境）

二、核心工具链掌握

工具类型

推荐工具

用途

反汇编器

IDA Pro/Ghidra（开源替代）

静态代码分析

调试器

x64dbg/WinDbg（Windows）

动态调试、内存追踪

GDB（Linux） + PEDA/GEF插件

动态分析

Process Monitor/Process Hacker

监控进程行为

二进制编辑

HxD/010 Editor

十六进制查看与修改

框架辅助

Radare2/Cutter（开源逆向平台）

集成反汇编与调试

三、逆向技术进阶路径

1. 初级：程序行为分析

分析简单CrackMe （例题资源）

定位关键函数（如注册验证逻辑）

修改跳转指令（JZ/JNZ）绕过验证

2. 中级：恶意样本分析

分析真实恶意软件（从VirusTotal获取样本）

识别反调试技术（IsDebuggerPresent、INT 3陷阱）

解密字符串与API动态解析（如IAT Hook）

3. 高级：漏洞挖掘与利用

缓冲区溢出分析：定位栈溢出、ROP链构造

漏洞利用开发（Exploit Development）

内核驱动逆向（Windows驱动模型/IOCTL调度）

四、专项领域深入

Windows平台逆向

WinAPI调用约定（stdcall/cdecl）

COM组件逆向

.NET程序逆向（dnSpy反编译）

Linux/Android逆向

ELF文件结构解析（readelf/objdump）

JNI动态库分析（Android NDK）

Smali代码阅读（Apktool/Jadx）

加密与混淆对抗

常见加密算法识别（AES/RC4/RSA）

代码混淆技术（OLLVM控制流平坦化）

自动化脱壳（Dump内存 + 重建IAT）

五、实战技能提升

CTF逆向赛事 ：参加DEF CON CTF、PlaidCTF

开源项目分析：研究知名项目（如FFmpeg/OpenSSL）的二进制安全机制

漏洞复现 ：分析CVE漏洞样本（Exploit-DB）

六、持续学习资源

类型

推荐资源

书籍

《逆向工程核心原理》《恶意代码分析实战》《Practical Binary Analysis》

博客

Google Project Zero

视频课程

LiveOverflow（YouTube）

社区

看雪学院、Reverse Engineering Stack Exchange

七、关键原则

合法合规：仅分析授权或开源程序，避免法律风险

动手实践：每天分析1个小程序（如CTF题目）

方法论优先：先理解程序行为，再深入指令细节

逆向工程如同"侦探工作"：从碎片线索（汇编指令/内存数据）重建程序逻辑。坚持6个月系统学习，可独立分析中等复杂度样本。

附：快速检查清单

能手动脱UPX壳

分析出CTF中的flag验证逻辑

编写IDAPython脚本自动解密字符串

理解VirtualProtect的内存保护机制

通过这条路线，将逐步掌握从基础指令解析到高级漏洞挖掘的全栈能力。🔍