花指令的原理和常用花指令收集
代码
#include < windows.h >
void main()
{
_asm
{
jmp l2
_EMIT 0x1 // 这里就是花指令
_EMIT 0x2 // 这里就是花指令
_EMIT 0x3 // 这里就是花指令
_EMIT 0x4 // 这里就是花指令
l2:
mov eax, 0x11111111
}
}
可以看到,程序直接跳转到标签l2了,在jmp指令和l2之间的就是花指令,花指令为什么能起作用呢?那是因为反编译器在反编译的时候不会像我们人一样去理解jmp和l2之间的指令是永远不会执行到的,所以在反编译的时候就把这段乱七八糟的代码作为正常的指令了,而这样的反编译会影响mov eax,0x11111111这个指令的正确识别,所以导致在OD中以上代码不会正确显示。
了解了原理我们就可以自如地设计花指令了,比如再加一段_EMIT 0x5等等。
花指令不光是能够用jmp指令来设计,还可以用call指令配合ret指令来进行设计,原理是这样的:我们知道call指令等于这样两条指令,一是把自身所在位置的下一条指令的地址压入堆栈,二是jmp到call的地址处,而ret指令可以理解为jmp到call指令压入堆栈的地址,因此,可以用call指令这样来写花指令:
1.call一个地址,在call下面随便写一点花指令,但是要注意一点与jmp版花指令不同的,我们要记得自己写的花指令占了多少个字节,比如,占了2字节,至于为什么要记得,往下看
2.在call里面,也就是函数里面,首先pop出压入的地址,然后把这个地址减去花指令占用的字节数,这里是2字节,再重新push进堆栈,然后就ret
这样,call结束以后执行的下一条指令就是我们想要去的位置了,也就是花指令下面的正常的指令了
其实用call来做的话起到的也就是jmp的作用,道理是一样的,只不过手法不同
这个call ret配合的方法是我分析aspack看到的,不知道还有没有其他的花指令的方法,有的话再加上:)
这里有个找花指令的小技巧,当发现jmp或者call的地址在OD中没显示的话,就把jmp或者call指令的下一个指令nop掉吧,肯定是花指令,如果还没有显示的话就继续nop下一条,直到显示的指令和执行的指令一致,所以说,去花指令是个体力活,哈哈
补充一点,如果这个call不跟进去的话,貌似程序就没办法调试了,不知道怎么回事,不清楚原因
2251
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
