作为我运行的CTF 挑战的一部分，我们去年遇到了一些逆向工程挑战。我发布了一些关于如何执行分析的建议（由每天执行此操作的人验证）。博文在这里。这些链接指向 IDA 和 OllyDbg 的教程，这是用于此类分析的两个最流行的工具，并且有来自 AV 供应商之一的一篇不错的论文。从记忆中，教程是一步一步的。

http://www.securitytube.net/上还有一些 rootkit 分析视频。

首先，基于 php/cgi 的程序可能不是 rootkit - rootkit 通常与隐藏在内核中的恶意软件相关联，而不仅仅是恶意软件。

如果你确定它是一个 rootkit，你有两个选择：

• 离线分析 - 给定断电系统的图像，您可以分析它更改了哪些文件。同样，您可以像分析其他恶意软件一样分析二进制文件。
• 在线分析——这是 Rootkit 试图阻止自己或它们隐藏的恶意软件的行为；但是，通常您可以执行一些分析。

与普通恶意软件不同，rootkit 的二进制检测或调试要困难得多，因为它们运行在与内核其余部分相同的安全级别，并且您必须将调试器附加到内核。例如，您可以选择使用KGDB。

离线分析很像对其他恶意软件进行逆向工程，但要注意代码与内核等相关的事实。事情可能要复杂得多。为此，IDA 已经被提及。这是此类事情的标准行业工具。

所以这个过程与普通的恶意软件并没有太大的不同，真的。