抗去除花指令(二)——有创意的花指令

最新推荐文章于 2016-10-22 22:48:23 发布
VIP文章 最新推荐文章于 2016-10-22 22:48:23 发布
阅读量3.6k 收藏 8
点赞数
分类专栏: win32病毒 文章标签: api 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangbostar/article/details/6194159
版权

一、概述

jmp/call/ret+垃圾数据”这样的花指令已经是相当“老掉牙”了,OD的插件对付它们基本是“秒杀”,所以本文想说点“有点创意”的花指令,至少能对付OD的插件。

 

二、创意的核心

[2.1]花指令因何被发现

jmp/call/ret+垃圾数据”的方法之所以容易被检测,原因是“意图太明显”,具体说任何一种检测手段,都是基于以下两点:

①检测跳转结构的固定形态特征,当然这不是绝对的,如果检测机制没能预见到这种形态特征,此点可以忽略,本文后边会提到一些这样的情况。

 

②用可靠的方法直接证明,垃圾数据部分在任何情况下都不会被执行。应该说该点是对“不可执行花指令”的无敌检测手段,然而却难在“可靠”二字上,目前已知的实践,只是做到“可供参考”的程度。

[2.2]

最低0.47元/天 解锁文章
yangbostar
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
指令去除
03-16
指令 专杀 指令去除
160个Crackme028之对指令
鬼手的博客
04-15 616
文章目录查壳分析程序分析算法对指令校验过程校验结果 查壳 目标程序是用VC6写的,没有加壳,跟027是同一个作者,难度为一颗星 分析程序 首先根据错误提示可以看到跳转到这个地址的地方有很多,我们直接选择最前面那个地址,开始分析整个算法 先随便输入一个序列号 另外,这个程序如果有IDA的帮助会分析的更快 分析算法 我们找到算法开始处的地址,对应到IDA中,F5查看一下伪C代码,但是你会...
去除指令(一)——指令基础
蛛丝
02-18 7132
<br />    入门知识,高手勿读<br />一、概述<br />指令是对反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。<br /> <br />指令分类<br />[2.1]可执行式指令<br />顾名思义,可执行式指令指的是能够正常运行的但又不改变原始程序逻辑性的一组无用指令。这类指令有如下特点:①可以正
OllyDbg实用技巧六则
把梦想放飞在蓝色的天空里...
05-09 1021
关键词: OllyDbg、OD、技巧 1、让跳转路径显示出来      打开Options\Debugging Option。弹出Debugging Option对话框,选择CPU页,选定 “Show direction to jumps”、“Show jump path”和“Show grayed path if jump is   not taken”。如此以来在Disas
指令入门
紫晓暮雾的博客
10-22 8970
原文来自看雪论坛PEdiy.com,原作者yangbostar 【其一:入门的入门】 一、概述      指令是对反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。 指令分类 [2.
指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出指令 将他清除
易语言指令去除
06-22
很不错的软件,相信大家都喜欢
鸢尾数据,使用去掉第一行
07-27
鸢尾数据,使用去掉第一行
APACHE的AcceptPathInfo指令使用介绍
10-27
从APACH2.0.30以上服务器中去掉了acceptpathinfo;如果需要的话需要在http.conf中添加AcceptPathInfo On这一条
你可能不了解的汇编(上)
蛛丝
12-12 6800
收集一些不太常用32位汇编知识,欢迎大家分享、指教。1.从PUSH开始谈新指令   你应该知道push、pushad、pushfd这三条指令,但是大部分人不知道还有pushd、pushw、pusha、pushf这四条指令;对应的还有popa、popf,但没有popd、popw。你不知道或不熟悉的指令还有很多很多,比如①xadd   交换并相加②bswap指令指定的32位寄存器的字节次序变反③④cmpxchg比较并交换⑤cmpxchg8八字节比较并交换.....2.模块伪指令  初学写32位汇编的大概都以为,
关于PE病毒编写的学习
蛛丝
08-30 3768
首先声明,因为害怕被封号,我肯定不会展示正确完整病毒代码,但是会介绍可行的学习方法。网上有很多关于介绍PE病毒编写的帖子,但基本上都是分析源码FunLove和《计算机病毒分析与对》中PE病毒的代码翻版。事实上这两个代码是用于原理展示,前者根本通不过编译,后者编译后并不能正确运行,虽然有部分帖子对其做了修改,受到正统汇编教材代码的影响,导致其修改方法是错误的。关于病毒编写充满了各种各样的迷信和谬论,因此在学习的过程中,我走了不少弯路,让我来一一说明:误区1:PE病毒一定要用汇编来写,其生成文件小,效率高,病
汇编写驱动(一)——光速入门
蛛丝
03-18 3590
用汇编写windows驱动非常简单,只要有汇编基础和用C写驱动的能力即可。有了这两样基础,我们距离用汇编写驱动,只剩下一层窗户纸,一戳就破。一、准备软件:Radasm        为了快速入门,好的IDE是降低入门难道的有效手段。Radasm是我最为钟爱的一款软件,第一次使用过它,我就果断地将masm32删除了。   RadASM是一款著名的WIN32汇编编辑器,精通win32汇编的人对它应该不会陌生。支持MASM、TASM等多种汇编编译器,提供优秀的IDE,自带一个资源编辑器和一个调试器(OD)。拥有较
关于PE病毒编写的学习()
蛛丝
08-31 3400
这篇说一下,PE病毒需要那些技术积累,以及这些技术的学习方法和重点是什么。1.先说汇编吧      其实我说的汇编关于两个方面:汇编语言设计 和 微机原理      汇编语言设计,它也是两方面: 常规教材讲的 和 病毒的技巧      常规教材上讲的基本都得学会,最基本的8086/8088肯定都得会,各种书籍视频很丰富,学起来不难。80x86也是必须得学,建议看一下《80x86汇编语言程序设计》(杨季文著,清华大学出版),这本书的后半本写的很精彩,至于罗云杉的那本,明白意思就行了,因为使用Radasm,简化
关于PE病毒编写的学习(十)——追加病毒的编写(下)
蛛丝
10-30 2670
  原本这一篇应该和上一篇同时发,但是我的原来代码写得很烂,而且由于我的目标是编写一个“追加病毒”框架,代码又要具备良好的模块特征。这两天改来改去,已经头脑混乱了,所以还是先发文章把原来的代码挂上,有时间再改,我会配上说明。  另外提一句,我把一个bug写再AddSection这个函数里,很多教学码也故意写这个错误,这个错误本意是修改由于PE文件头的修改使“xx值”应适当变化,实际写入的是空位置,这个值不应该变化,这个画蛇添足的行为会导致被感染文件出现一个对齐问题的错误,使系统认为它不是一个有效文件。自己独
关于PE病毒编写的学习(三)
蛛丝
09-10 2414
历史上,在windows95发布后,用高级语言编写的外壳病毒,经过简单地改造编译,就能从DOS平台迁移到windows平台上。并且在这当中很多“前置病毒”,仅仅需要重新编译。另外之所以用“前置病毒”作为第一分析样本,理由如下:1.它具有基本病毒功能模块,这些模块在文件型病毒中是通用的2.其框架结构,所需病毒技巧极少3.拓展方便,通过不断地加入新功能,循序渐进的学习各种病毒技巧4.加载新模块方便,适合测试其它病毒的某些功能模块那么何谓“前置病毒”?DWORD dwVirusSize=40960;HANDLE
控制流迷惑——控制流整平
蛛丝
02-24 2397
一、控制流整平的作用    学逆向的人都知道,if-else、while、for具有典型的跳转等结构,即使通过多层嵌套、拓展条件等方法,依然可以通过“切片技术”来判断。有了这些依据,就给程序分析带来很多便利。    正是这个原因,为了增加程序逆向的难度,我们得使得这些特征结构变得模糊,并且能让类似“切片技术”这样基于具体语义分析的方法失效,迫使逆向分析人员进行完整的抽象语义分析,斩断所谓的“捷径”。    控制流整平的策略是这样的,它把所有的典型控制流以及其衍生结构“统而为一”,各种控制流的区别只是语义方面
使用CloseHandle对调试器
蛛丝
12-30 2240
      我最近调试程序才发觉,CloseHandle这个函数的一个怪异的行为。我突然想到可以利用这个行为来欺骗或者对调试器。    这个怪异的行为是这样的,调用CloseHandle释放一个无效句柄,如果进程在调试器之外,那么函数返回FALSE,而GetLastError得到ERROR_INVALID_HANDLE;但是如果进程在调试器内,那么系统将抛出异常C0000008H。一、首先说如何得到一个无效句柄呢?方法一:一个句柄释放多次次    这个方法看似没问题,但实际有很大的隐患。因为新创建的内核对
python的字典输出怎么去掉括号
最新发布
06-07
Python 字典输出去掉括号可以使用字符串的 replace() 方法,将括号替换为空字符串。示例代码如下: ```python my_dict = {'name': 'Jack', 'age': 25, 'city': 'New York'} output = str(my_dict).replace("{",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值