花指令来袭

最新推荐文章于 2021-05-13 19:54:43 发布
最新推荐文章于 2021-05-13 19:54:43 发布
阅读量1k 收藏
点赞数
分类专栏: 深造之旅 文章标签: 花指令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/45249127
版权

主要参考资料抗去除花指令http://bbs.pediy.com/showthread.php?t=129526
灵感<计算机病毒防范艺术>
想起了ZeroRootkit的 int2dh 如果在调试器下就不会eip+1
乱花渐欲迷人眼

一 开始:

两类花指令:

1可执行花指令

主要利用堆栈平衡完成事情.比如做一个运算再做一个逆运算,或者对当前指令上下文进行保存后进行一下垃圾操作然后回复当前指令上下文关系.

2不可执行式花指令

根据反汇编的工作原理,只有当花指令同正常指令的开始几个字节被反汇编器识别成一条指令时,才能有效破坏反汇编的结果。因此,插入的花指令应当是一些不完整的指令
Cullen等人指出为了能够有效“迷惑”静态反汇编工具,同时保证代码的正确运行,花指令必须满足两个基本特征,即:
1)垃圾数据必须是某个合法指令的一部分:
2)程序运行时,花指令必须位于实际不可执行的代码路径。
线性扫描反汇编算法:
行进递归反汇编算法:
//灵感:探测系统是否为正常系统(太干净,有威胁)否则设置标志,不干坏事.屏蔽恶意行为.

简易不可执行花指令:
有创意地避免固定形态特征:
1新的固定结构xor-cmp
2非固定结构的”伪条件跳转”替代”强制跳转”
//灵感:检测自己是否在单线程运行(被调试)然后设置标记.然后跳转到不同流程.

二 然后

2.1互补条件跳转.

互补条件跳转

2.2改进版: 用随机值获得确定性标志位

xor reg,value1;只要我们的value1的值不为0.则表达式不为真.
cmp reg,value1
jnz Label
Db thunkcode;垃圾数据
Lable:

这种形态还是很固定.

2.3利用API返回确定值;

//老任老师<黑客免杀攻防>提到过:使用时间函数来做判断.防止花指令被杀毒引擎跳过.
//原文没有下文了.

dalerkd
关注
专栏目录
WizardLM-2 重磅来袭 快速尝鲜
2401_84052244的博客
05-03 100
微软最近推出了 WizardLM 2,这是一个突破性的大型语言模型系列,突破了人工智能的界限。这些模型展示了复杂聊天、多语言理解、推理和代理功能方面的显着改进,超越了其前身 WizardLM 和其他领先的开源模型。
指令添加器,自动添加指令
08-02
不用你自己麻烦,自动添加指令,很简单!
指令
weixin_34310127的博客
07-03 345
本文作者:sodme本文出处:http://blog.csdn.net/sodme声明:本文能够不经作者允许随意转载、复制、引用。但不论什么对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能非常多人都听说过指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是指令?它的原理是什么?二、在什么地...
最新一批指令
weixin_34050519的博客
09-30 300
【深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码:============================伪装代码部分:============================ mov eax,0040E000push 004153F3push dword ptr fs:[0]mov dword ptr fs:[0],esppus...
抗去除指令(一)(二)(三)(四)
zhangmiaoping23的专栏
08-06 4824
标 题: 【原创】抗去除指令(一)(二)(三)(四) 作 者: yangbostar 时 间: 2011-02-18,19:24:16 链 接: http://bbs.pediy.com/showthread.php?t=129526 入门知识,高手勿读 一、概述      指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错
Fusion来袭 AMD Llano桌面APU处理器.pdf
09-25
它保留了三发射指令体系,拥有完整的128KB L1缓存,并且每个核心的L2缓存增加到1MB,与Athlon II双核相同,但去掉了L3缓存以降低芯片面积和热设计功率(TDP)。为弥补无L3缓存的影响,AMD改进了基于IP的硬件预读取器...
7nm风暴来袭,最强x86处理器登陆中国.pdf
09-25
“Zen 2”核心是AMD新一代处理器的核心架构,其IPC(每周期指令)相比于前一代的“Zen”架构提升了15%,这意味着处理器在处理相同工作负载时可以更快完成任务。这一核心架构的应用使得AMD第三代锐龙和霄龙处理器性能...
车联网来袭,IC厂商如何顺应交互潮流?
08-30
它可以让驾驶员在保持视线不离开路面的同时,通过语音指令实现对车载系统的控制,如导航设置、电话拨打、音乐播放等。飞思卡尔汽车微控制器市场开发经理黄熙强调,车联网终端产品的芯片必须支持语音交互功能,以满足...
27. 植物大战僵尸-僵尸来袭-项目源码与素材,Scratch少儿编程,经典教学作品,儿童益智游戏
04-20
在这个"植物大战僵尸-僵尸来袭"的项目中,我们将深入探讨如何利用Scratch来构建一款类似经典游戏的编程作品,让孩子们在娱乐中学习编程知识。 一、项目概述 该项目是一个基于"植物大战僵尸"主题的少儿编程游戏,...
指令编写工具
02-07
指令编写工具 注:编写指令,可参考以下成双指令,可任意自由组合.达到免杀效果. push ebp pop ebp push eax pop eax push esp pop esp push 0 push 0 push 10 -------其中数字可以任意,注意与下面对应 push -10 nop -----------可任意在中间添加 与它等效的: mov EDI,EDI add esp,1 -------其中数字可以任意,注意以下面对应 add esp,-1 add esp,1 --------其中数字可以任意,注意以下面对应 sub esp,1 inc ecx dec ecx sub eax, -2 ----------其中数字可任意,与dec的个数对应 dec eax dec eax add eax -2 ----------其中数字可任意,与inc的个数对应 inc eax inc eax jmp 下一个jmp地址 jmp 下一个地址 push ebp mov ebp,esp -------可做为指令的开头句 jmp 入口地址 ------跳到程序入口地址 与它效果一样的还有(以下三个): push 入口地址 retn jb 入口地址 jnb 入口地址 mov eax,入口地址 jmp eax ************************************************ 用北斗压缩后----再VMProtect加密后,可过瑞星表面
指令技术(chm格式)
09-24
SEH异常的应用 SEH异常就是结构化异常处理,程序遇到SEH异常时,异常交给系统处理(这讲是一个非常负责的过程,很容易跟飞),所以利用SEH异常时可以一定程度的防止程度调试(SEH异常在壳里是很常见的)。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push ******** //地址压入堆栈 mov eax,dword ptr fs:[0] push eax //fs[0]压入堆栈,执行完成后fs[0]指向堆栈 mov dword ptr fs:[0],esp //构造一个ERR结构 mov esi,0 //简单的赋值语句 mov eax,dword ptr ds:[esi] //产生异常 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push ******** mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp mov ebx,0 div ebx ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ nop push ******** mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp int 3 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push ******** mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp nop int 68 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push ******** mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp nop vxdcall 134543 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push ******** mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push xxx push dword ptr fs:[0] mov fs:[0], esp stc ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push xxx push dword ptr fs:[0] mov fs:[0], esp JMP 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push xxx push dword ptr fs:[0] mov fs:[0], esp ret ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push xxx push dword ptr fs:[0] mov fs:[0], esp pop ss
VC指令方法
03-24 2791
在VC加入指令,我在几年前就尝试使用了,一点心得,大家交流:-----------------------------------------------------------    1、首先,定义各种指令的宏,可以单独放到一个.h文件中,也可以直接在程序的首部定义,我建议放到.h文件中。       注意,所有转移标号和call的地址用相对地址符号$表示,以楼上的问题为例,格式如下:#de
指令的原理和常用指令收集
weixin_33728268的博客
05-03 810
指令的作用是对付静态分析,以下面一段程序说明一下指令的原理 代码 #include<iostream.h>#include<windows.h>voidmain(){_asm{jmpl2_EMIT0x1//这里就是指令_EMIT0x2//这里就是指令_EM...
linux arm 加壳,[求助]一个变态的指令的arm
weixin_33895274的博客
05-13 257
[求助]一个变态的指令的arm2006-2-3 20:215237[求助]一个变态的指令的arm2006-2-3 20:215237一个变态的指令的arm问题:这是arm的什么保护形式?iat如何得到?找oep非常容易。找到oep为00401EBC,如下:0012EB7401 00 00 00 A8 08 00 00...?..0012EB7C64 0F 00 00 01 00 ...
指令学习
whatday的专栏
02-15 2285
prefix repne: 这条指令是怎么用的呢?想了半天也想不出来.详情进来看看: 我在反编译一个程序时,见到以下代码了,里面有指令,但F2 prefix repne:和F3 prefix repne:指令有什么用呢?哪位能指点一下! 004B2012 /EB 0F jmp short hbdzsc.004B2023 004B2014 |B9 EB
抗去除指令(一)——指令基础
lixiangminghate的专栏
01-04 2906
转自 http://blog.csdn.net/yangbostar/article/details/6194133 入门知识,高手勿读 一、 概述 指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值