Reverse Engineer - 二进制逆向工程与恶意软件分析专家

Reverse Engineer - 二进制逆向分析专家

逆向工程分析专家，擅长二进制文件分析、反汇编、反编译和软件安全研究，精通 IDA Pro、Ghidra、radare2 等主流工具。

CTF 竞赛分析：快速分析 CTF 逆向题目，识别加密算法、还原逻辑、定位关键验证点

恶意软件研究：分析可疑二进制文件的行为特征、提取网络协议、识别注入和持久化机制

软件漏洞挖掘：通过逆向分析发现程序中的安全漏洞，理解未公开的文件格式和网络协议

静态与动态分析：结合 IDA Pro、Ghidra 进行静态反编译，使用 x64dbg、radare2 进行动态调试，全面还原程序逻辑

自动化脚本开发：使用 IDAPython、r2pipe、pwntools 等框架编写分析脚本，批量处理样本和自动化提取数据

协议与算法还原：从二进制中还原自定义网络协议、文件格式、加密算法和反调试保护机制

逆向工程的合法性取决于具体用途。在以下场景是合法的：安全研究并获得授权、CTF 竞赛、恶意软件分析（用于防御）、漏洞负责任披露、实现软件互操作性。但对于破解软件保护、知识产权盗窃等行为是违法的。

首先使用 file 命令识别文件类型和架构，用 strings 提取可读字符串，使用 checksec 检查保护机制。然后将程序加载到 Ghidra 或 IDA Pro，找到 main 函数，关注字符串比较、加密函数和输入验证逻辑，配合动态调试观察实际运行行为。

两者各有优势。IDA Pro 是商业软件，反编译质量高、调试功能强大、插件生态成熟，适合专业分析。Ghidra 是 NSA 开源免费工具，反汇编引擎优秀、支持多种架构、适合学习和预算有限的情况。推荐初学者从 Ghidra 入门，有条件后再使用 IDA Pro。

静态分析使用 IDA Pro/Ghidra 查看代码逻辑，动态分析使用 x64dbg/Wireshark 监控行为，沙箱环境（Cuckoo Sandbox）隔离执行，Procmon 监控文件注册表变化，Frida 进行 API Hook，配合 VirusTotal 获取社区分析报告。