1. objdump(GNU Binutils套件)
objdump是Debian系统预装的基础反汇编工具,适用于ELF、PE等多种二进制格式,核心功能是解析二进制文件的汇编代码、符号表、重定位信息等。常用命令包括:objdump -d <binary_file>(反汇编整个文件)、objdump -d -j .text <binary_file>(仅反汇编.text代码段)、objdump -t <binary_file>(查看符号表)。其优势在于与系统工具链深度集成,适合快速查看二进制文件的基本结构,但对复杂二进制文件的分析功能有限。
2. gdb(GNU调试器)
gdb不仅是调试工具,也支持反汇编功能,适合在调试过程中动态查看代码。常用命令有:gdb <binary_file>(启动并加载文件)、disassemble(反汇编当前函数)、disassemble <function_name>(反汇编指定函数)、disassemble <start_address>, <stop_address>(反汇编地址范围)。gdb的优势在于能与程序执行流程结合(如设置断点、单步执行),适合调试程序逻辑,但静态反汇编能力不如专业工具。
3. radare2(逆向工程框架)
radare2是功能强大的逆向工程框架,支持反汇编、调试、二进制编辑等多种功能,适合高级用户。启动方式:r2 <binary_file>,常用命令包括:pdf(反汇编当前函数)、pdf @ <start_address>(反汇编指定地址)、aaa(自动分析二进制文件)、s sym.<function_name>(跳转到指定符号)。radare2的优势在于支持多种架构(x86、ARM等)和文件格式,且提供脚本接口(如r2pipe),适合自动化分析,但学习曲线较陡。
4. ndisasm(NASM配套反汇编器)
ndisasm是NASM汇编器的配套工具,专门用于反汇编x86/x64架构的二进制机器码(如COM、EXE文件),不依赖ELF符号信息。基本用法:ndisasm -b 32 <binary_file>(32位模式)、ndisasm -b 64 <binary_file>(64位模式)、ndisasm -b 32 -o <offset> <binary_file>(从指定偏移量开始反汇编)。其优势在于轻量快速,适合分析裸机代码或简单的二进制文件,但无法处理复杂的ELF文件结构。
5. Ghidra(NSA开源逆向工具)
Ghidra是美国国家安全局(NSA)开发的免费开源逆向工程工具,提供图形化界面和强大的分析功能,适合新手和专业用户。使用步骤:下载安装后,打开Ghidra→“File”→“Open Program”导入二进制文件,Ghidra会自动进行反汇编和初步分析(如识别函数、变量)。其优势在于支持多种架构(ARM、MIPS等)、提供丰富的脚本插件(如自动注释),且能生成详细的反汇编报告,适合复杂二进制文件的分析。
6. capstone(轻量级反汇编框架)
capstone是一个跨平台的反汇编框架,支持多种架构(x86、ARM、MIPS等),适合开发自定义反汇编工具。安装:sudo apt install libcapstone-dev(Debian/Ubuntu),编写C程序调用capstone API(如初始化句柄、反汇编代码、释放资源),编译运行即可。其优势在于轻量、易集成,适合需要将反汇编功能嵌入到其他程序的场景(如逆向工具开发),但需要一定的编程基础。