静态分析与动态分析

静态分析和动态分析是逆向工程的两大核心方法，分别从不同角度揭示软件的行为和结构。

一、静态分析

静态分析在不执行目标程序的情况下分析其代码和数据。反汇编是将机器码转换为汇编语言的过程，反编译则进一步将其提升为高级语言表示。静态分析的优点是覆盖全部代码路径，不存在执行条件限制；缺点是面对混淆代码时准确率下降，无法处理加壳程序的真实逻辑。

二、静态分析工具

命令行工具方面，objdump 是 GNU Binutils 的基本反汇编工具；readelf 解析 ELF 文件头信息；nm 列出符号表；strings 提取可打印字符串。进阶工具包括：Radare2 提供命令行交互式反汇编环境；Ghidra 和 IDA Pro 支持高级图形分析和反编译。字节序列识别工具（如 FindCrypt2、YARA）可快速定位加密算法和恶意代码特征。

三、动态分析

动态分析通过实际执行程序来观察其行为。相比静态分析，动态分析能获取运行时信息——解密后的数据、注册表操作、网络连接、进程间通信等。但动态分析仅覆盖实际执行的代码路径，不能保证发现隐藏功能。动态分析的核心挑战包括反调试检测、环境检测（VM 检测）、定时炸弹和逻辑炸弹的触发条件满足。

四、动态分析工具链

调试器是动态分析的核心。x64dbg 是 Windows 平台的首选用户态调试器；WinDbg 支持内核态调试和崩溃转储分析；GDB/LLDB 是 Linux/macOS 平台的标准调试器。API 监控工具如 API Monitor、Process Monitor 记录程序与操作系统的交互。Frida 提供跨平台的动态插桩能力，可运行时 Hook 函数调用和修改返回值。

五、动静结合

实际逆向工程通常交替使用静态和动态分析。典型工作流程：先用静态分析快速了解程序结构和可疑函数；然后设置断点并通过动态分析验证假设；遇到反调试时回到静态分析查找绕过方式；识别加密函数后通过动态插桩提取解密密钥。动静结合可以发挥两种方法的优势——静态分析提供完整代码视图，动态分析揭示运行时真相。

六、自动化分析

大规模恶意软件分析需要自动化。沙箱系统（Cuckoo Sandbox、CAPE）自动提交样本并收集动态行为报告。IDA Python 脚本批处理静态分析任务。Unicorn 作为轻量级 CPU 模拟器，无需完整操作系统即可执行代码片段，特别适合壳代码和混淆函数的分析。Angr 结合符号执行实现自动化路径探索和漏洞发现。