Question

像 IDA 这样的集成式反汇编器/调试器组合是一个非常强大的工具，可用于操纵二进制文件，并在逆向工程过程中无缝应用静态和动态分析技巧。当然，如果你了解这两款工具单独使用以及结合使用的功能和限制，你同样可以实现相同的目的。

本章将讨论一些重要的问题，说明 IDA 的静态功能如何与它的动态功能交互。为了给这方面的讨论提供启示，我们将研究可被 IDA 调试器采用、用于在恶意软件分析时破坏某些反调试（及反“反汇编”）技巧的方法。在这方面，需要记住的是，我们分析恶意软件的目的通常并不是运行恶意软件，而是获得一个质量足够好的反汇编代码清单，以供静态分析工具使用。如第 21 章所述，有许多技巧专门用于阻止反汇编正常运行，而调试器只是破坏这些技巧的一种手段。通过在调试器的控制下运行模糊程序，我们将设法获得该程序的去模糊版本，然后使用反汇编器进行分析。