romainbreault1000-alt/binary-teardown-notes

# 二进制拆解笔记 [](LICENSE) []() ## 目录 - [概述](#overview) - [方法论](#methodology) - [案例索引](#case-index) - [工具包](#toolkit) - [免责声明](#disclaimer) ## 概述 结构化的存储库，用于**法医拆解文档**。每个案例遵循：*侦察 → 解剖 → 文档 → 缓解*。 ## 案例 | ID | 文件夹 | 主题 | |----|--------|-------| | RE-001 | [cases/RE-001](cases/RE-001) | 控制流平坦化恢复 | | RE-002 | [cases/RE-002](cases/RE-002) | 手动映射加载器 | | RE-003 | [cases/RE-003](cases/RE-003) | IOCTL 通信指纹 | 方法论：[docs/methodology.md](docs/methodology.md) ## 方法论 ### 静态分析 - 导入/导出重建 - 控制流平坦化恢复 - 字符串和配置提取（仅限哈希 IOCs） - 比较构建之间的差异以确定补丁周期 ### 动态分析 - 使用 ETW / API 跟踪的沙箱执行 - 注入里程碑中断 - 处理和对象回调关联 ## 案例索引 | ID | 标题 | 标签 | 状态 | |----|-------|------|--------| | RE-001 | 混淆打包器 — CFF 分派器恢复 | `flattening` | 草稿 | | RE-002 | 手动映射加载器 — 导入解析跟踪 | `manual map` | 草稿 | | RE-003 | 混合 UM/KM 通信 — IOCTL 指纹 | `ioctl` | 草稿 | | RE-004 | 系统调用存根钩子 — 阴影 SSDT 备注 | `syscall` | 草稿 | ## 工具包 | 工具 | 角色 | |------|------| | **IDA Pro / Ghidra** | 静态提取 + xref 链 | | **x64dbg** | 动态跟踪，解包阶段 | | **Binary Ninja** | 构建之间的 IL 差异 | | **WinDbg** | 内核相关调试 | ## 免责声明 发布用于**安全研究和防御分析**。不是源代码转储或作弊分发点。 ## 许可证 MIT — 查看 [LICENSE](LICENSE).

标签：ASN解析, 合规性检查, 客户端加密