应用安全 --- 应知应会 之 函数调用链

 

函数调用链是ida中叫做交叉引用，就是函数的调用和被调用形成的链条

分为

用户链：包含自定义业务逻辑（加固、反调试、加解密、Hook、DEX加载、签名校验等）

系统链：纯由编译器生成/C++运行时/第三方库（demangle、DWARF unwind、YARA、zstd、C++ ABI异常处理等）驱动，无自定义业务逻辑介入

混合链：入口为用户业务函数，但深层调用进入系统/库函数（标记为"用户链"，因业务入口决定链属性）

我们在逆向分析中就要尽可能的去除系统链对分析的干扰