1、常見(jiàn)壓縮殼：UPX、ASPACK、NSPACK。

2、常見(jiàn)加密殼：Asprotect、Zprotect、Yoda、Telock、Svkp。

3、常見(jiàn)虛擬機(jī)保護(hù)殼：Vmprotect、Themida、WinLicense 。

4、常用動(dòng)態(tài)調(diào)試工具：ollydbg、Immunitydbg、Windbg，其中ollydbg使用最多，逆向必備，Immunitydbg為Immunity公司對(duì)ollydbg之后的改進(jìn)版，支持Python腳本，但是斷點(diǎn)不能保存，更適合漏洞利用領(lǐng)域，Windbg界面不甚友好，但是微軟自家的東西對(duì)windows系統(tǒng)支持很好，調(diào)試內(nèi)核驅(qū)動(dòng)程序必備，三者都支持自定義腳本編寫。

5、常用靜態(tài)分析工具：Win32Dasm、Ida pro，Win32Dasm已經(jīng)停止更新了，Ida功能更強(qiáng)更常用，結(jié)合hex插件反編譯出C程序代碼的效果極佳哦。

6、Peid是目前最常用的查殼類型的工具，內(nèi)置有外殼特征庫(kù)及識(shí)別算法，也可以自己下載特征庫(kù)自制查殼工具。

7、DeDe是逆向分析Delphi及Brond C++程序的利器，可以看到窗體及其它資源的信息，還可以查看對(duì)應(yīng)按鈕等的處理程序，便于快速定位分析。

8、機(jī)器碼：用二進(jìn)制代碼表示的計(jì)算機(jī)能直接識(shí)別和執(zhí)行的一種機(jī)器指令的集合，一般反匯編出的結(jié)果為16進(jìn)制顯示，如空指令nop的機(jī)器碼為90（16進(jìn)制）;

9、斷點(diǎn)：調(diào)試器的功能之一，可以讓程序中斷在需要的地方，常用的斷點(diǎn)包括：INT3斷點(diǎn)（也稱軟斷點(diǎn)）、硬件斷點(diǎn)（利用CPU的調(diào)試寄存器設(shè)置）、內(nèi)存斷點(diǎn)（利用操作系統(tǒng)的缺頁(yè)異常處理機(jī)制）、消息斷點(diǎn)、條件斷點(diǎn)等。

10、硬件斷點(diǎn)利用CPU的調(diào)試寄存器，最多只能設(shè)置4個(gè)，在軟斷點(diǎn)被檢測(cè)的多時(shí)下硬件斷點(diǎn)和內(nèi)存斷點(diǎn)也是極好的。

11、調(diào)試器的單步跟蹤是結(jié)合的調(diào)試器軟斷點(diǎn)機(jī)制，在調(diào)試器中實(shí)現(xiàn)的逐指令或逐過(guò)程執(zhí)行程序。

12、父進(jìn)程：指已創(chuàng)建一個(gè)或多個(gè)子進(jìn)程的進(jìn)程，調(diào)試器如Ollydbg一般使用打開(kāi)或附加的方式調(diào)試程序，調(diào)試器就作為調(diào)試程序的父進(jìn)程，一般正常的應(yīng)用程序是由explorer.exe創(chuàng)建的，父進(jìn)程就是explorer.exe等，可以利用這個(gè)特點(diǎn)做反調(diào)試。

13、堆棧平衡定律：手工脫殼時(shí)利用外殼程序首先需要保存原程序的入口信息（寄存器、堆棧使用情況等），通過(guò)標(biāo)記剛加載時(shí)入口點(diǎn)的堆棧位置，等外殼程序恢復(fù)原程序的ESP寄存器值的時(shí)候，一般就到了OEP位置附近。

14、內(nèi)存訪問(wèn)斷點(diǎn)：根據(jù)操作系統(tǒng)的內(nèi)存管理機(jī)制，經(jīng)常未使用的內(nèi)存頁(yè)不會(huì)放置在緩存中，當(dāng)程序需要訪問(wèn)到該頁(yè)內(nèi)存時(shí)就會(huì)觸發(fā)缺頁(yè)異常，就會(huì)交給調(diào)試器處理，而外殼程序完成原程序各個(gè)區(qū)段的解壓操作之后會(huì)跳轉(zhuǎn)到原程序開(kāi)始執(zhí)行，在使用Ollydbg調(diào)試器手工脫殼時(shí)，可以手工設(shè)置內(nèi)存訪問(wèn)斷點(diǎn)，當(dāng)程序解壓完某個(gè)區(qū)段之后會(huì)自動(dòng)中斷在缺頁(yè)異常處，再進(jìn)行單步跟蹤就能到達(dá)OEP處。

15、shellcode：一段完成特定功能的代碼，一般用于獲取主機(jī)權(quán)限，常見(jiàn)的有新建用戶、彈出消息框（測(cè)試用）、綁定端口等，與溢出漏洞聯(lián)系緊密，經(jīng)常在利用漏洞獲取程序控制權(quán)之后執(zhí)行得到被攻擊主機(jī)的部分權(quán)限。

16、網(wǎng)頁(yè)掛馬一般利用瀏覽器或其插件在解析特定網(wǎng)頁(yè)過(guò)程中的漏洞控制瀏覽器程序流程執(zhí)行shellcode（一般為反彈連接或是下載并執(zhí)行惡意程序的功能），用戶在使用瀏覽器訪問(wèn)不明鏈接時(shí)就可能成為被控制的“肉雞”，現(xiàn)在國(guó)內(nèi)主機(jī)WindowsXp+IE8的仍然占很大分量，很危險(xiǎn)(⊙o⊙)哦，Windows7下則安全的多。

17、軟件加殼過(guò)程一般是將原程序的代碼數(shù)據(jù)等壓縮或加密處理，在程序中新建一個(gè)區(qū)段存放外殼代碼，并修改程序入口使外殼部分代碼先于原程序開(kāi)始執(zhí)行，在完成原程序數(shù)據(jù)的解壓縮或解密之后再跳轉(zhuǎn)到原程序的代碼執(zhí)行。

18、內(nèi)存偏移地址：也叫VA，在保護(hù)模式下程序被加載到內(nèi)存后，操作系統(tǒng)為其分配了自己獨(dú)立的4GB虛擬內(nèi)存空間，在這個(gè)空間定位的地址就稱為虛擬內(nèi)存地址，范圍為0×00000000~0xffffffff，相對(duì)于0×00000000的偏移稱為內(nèi)存偏移地址。

19、區(qū)段：也可以稱為“節(jié)”、“區(qū)塊”，用于存放可執(zhí)行程序不同類型數(shù)據(jù)的地方，如代碼段、數(shù)據(jù)段、資源段等，將程序的數(shù)據(jù)放置在不同的區(qū)段可以設(shè)置不同的權(quán)限便于管理，實(shí)際存放的數(shù)據(jù)類型或區(qū)段名稱可以根據(jù)根據(jù)需要靈活設(shè)置。