Re 花指令学习_dejunk 花指令

最简单的jmp指令

jmp s  
 db junk\_code;  
 s:

这种jmp单次跳转只能骗过线性扫描算法，会被IDA识别（递归下降）

多层跳转

\_\_asm {  
 jmp s1;  
 \_emit 68h;  
 s1:  
 jmp s2;  
 \_emit 0CDh;  
 \_emit 20h;  
 s2:  
 jmp s3;  
 \_emit 0E8h;  
 s3:  
 }

和单次跳转一样，这种也会被IDA识别。将花指令改写一下骗过IDA

__asm {
_emit 0xE8
_emit 0xFF
//_emit 立即数：代表在这个位置插入一个数据，这里插入的是0xe8
}

可以看到IDA错误的识别loc_411877处的代码，成功的实现了花指令的目的

常用指令含义

push ebp ----把基址指针寄存器压入堆栈
pop ebp ----把基址指针寄存器弹出堆栈
push eax ----把数据寄存器压入堆栈
pop eax ----把数据寄存器弹出堆栈
nop -----不执行
add esp,1-----指针寄存器加1
sub esp,-1-----指针寄存器加1
add esp,-1--------指针寄存器减1
sub esp,1-----指针寄存器减1
inc ecx -----计数器加1
dec ecx -----计数器减1
sub esp,1 ----指针寄存器-1
sub esp,-1----指针寄存器加1
jmp 入口地址----跳到程序入口地址
push 入口地址—把入口地址压入堆栈
retn ------ 反回到入口地址,效果与jmp 入口地址一样
mov eax,入口地址 ------把入口地址转送到数据寄存器中.
jmp eax ----- 跳到程序入口地址
jb 入口地址
jnb 入口地址 ------效果和jmp 入口地址一样,直接跳到程序入口地址
xor eax,eax 寄存器EAX清0
CALL 空白命令的地址 无效call

栈指针平衡

这里借用大佬的图来看一个栈针平衡的示例，总结就是先进后出，每一次pop和push要改变esp让栈平衡

例题：

[HNCTF 2022 WEEK2]e@sy_flower

当使用IDA分析伪代码时，有花指令会发生

无法查看伪代码，需要去给出的地址查看具体发生的问题

要设置一下IDA，让它显示出栈指针（Options-General-Disassembly-"Stack pointer"）

可以把stack pointer打开，然后再把number of opcode bytes 设为5

发现jz和jnz互补跳转了，后面地址+1已经提示了跳转的字节大小。

选中这一行，Edit-Patch program-Change bytes，把第一个e9改为90

对main函数用P重新定义下，再F5反编译

逻辑就是输入的flag先互换位置，再与0x30异或

enc = list(‘c~scvdzKCEoDEZ[^roDICUMC’)  
 flag = []  
 for i in range(len(enc)):  
 flag.append(chr(ord(enc[i])^0x30))


for i in range(int(len(flag)/2)):  
 tmp = flag[2\*i]  
 flag[2 \* i] = flag[2 \* i + 1]  
 flag[2 \* i + 1] = tmp


for i in flag:  
 print(i,end=“”)

[MoeCTF 2022]chicken_soup

查壳32，打开分析后发现401000和401080对v4加密了，点击进去，就发现401000和401080被加花了

jz和jnz互补跳转。打开opcode bytes的显示，然后分别对E9改为90nop掉，然后用P再F5

进去main，可以看到sub_401000和sub_401080分别对v4进行加密

思路：输入字符串---->flag长度检验为38个—>经过2个函数指针的运算后----->与加密过后的数据进行比较

第一层加密，即flag[i] = flag[i] + flag[i+1]

第二层加密，即每个字符自身左移4位与自身右移4位进行按位与运算
即flag[i] >> 4 | flag[i] << 4

直接逆回去

enc =[0xcd,0x4d,0x8c,0x7d,0xad,0x1e,0xbe,0x4a,0x8a,0x7d,0xbc,0x7c,0xfc,0x2e,0x2a,0x79,0x9d,0x6a,0x1a,0xcc,0x3d,0x4a,0xf8,0x3c,0x79,0x69,0x39,0xd9,0xdd,0x9d,0xa9,0x69,0x4c,0x8c,0xdd,0x59,0xe9,0xd7]


for i in range(len(enc)):  
 enc[i] = ((enc[i]//16 | enc[i]<<4)) & 0xff  
 print((enc[i]))


for i in range(len(enc)-1, 0, -1):  
 enc[i-1] -= enc[i]


print(bytes(enc))

参考：

手脱花指令及IDA脚本编写 - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

【逆向学习】花指令的去除_去除花指令-CSDN博客

花指令的模式识别以及处理 - YenKoc - 博客园 (cnblogs.com)")

[原创][花指令]由易到难全面解析CTF中的花指令-软件逆向-看雪-安全社区|安全招聘|kanxue.com

如何自学黑客&网络安全

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

mg-Q6iyONO6-1715540019541)]

[外链图片转存中…(img-5UNpzgTb-1715540019541)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！