【CTF-Reverse】花指令

最新推荐文章于 2024-05-01 16:21:50 发布
最新推荐文章于 2024-05-01 16:21:50 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: CTF初学 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LeeOrange_45/article/details/128783260
版权

 参考自(5条消息) CTF逆向基础----花指令总结_非著名不专业Re选手的博客-CSDN博客_c++ 花指令

本文仅仅属于个人学习笔记,以便知识体系化

花指令是啥?

1.垃圾指令,不影响程序逻辑,用以增加静态分析的难度。

2.花指令也可以被用在病毒或木马上,通过加入花指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的

有哪些分类?

会被执行的花指令and 不会被执行的花指令

int main()
{
    example{

    xor eax,eax;
    jz label1;

    huazhiling;
    huazhiling;
    huazhiling;//花指令
    
    label1:

    }


return 0;
}

        a:(不会被执行)花指令是操作码,花指令后面原本的机器码会被误认为操作数,从而导致反汇编解析错误

        b:(不会被执行)花指令是平衡堆栈的代码,ida解析时,会由于该指令是堆栈操作而认为对战不平衡,使得F5失效

       c:(会被执行)花指令是正常的汇编指令,可以改变堆栈操作,但不会改变原来程序的堆栈寄存器,但是能起到干扰静态分析的作用。示例:

        

int main()
{

    example{
    push eax;//32位下,push eax 分为两个步骤:1:esp-=4;2:mov [esp],eax
    add esp,4;//正常情况下,push要对应pop来保持堆栈平衡,但是这里是add,即使使得平衡,但ida识别不出,从而产生花指令
    }
return 0;
}

        d:(会执行)利用call增加复杂度。call执行是会向堆栈中压入返回地址,可以修改返回地址配合ret跳转到任意地方。参考2018网鼎杯_give_a_try:

如何解决?

        对于ab:可手动解决:参考这个大佬的花指令解决方式[原创]某春秋平台22年赛题CTF逆向题-Random - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

        idc脚本清除

LeeOrange_13
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF逆向基础----指令总结
一位非著名不专业的Re选手
03-13 9222
什么是指令? 指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,指令被作为一种手段来增加静态分析的难度,指令也可以被用在病毒或木马上,通过加入指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的指令的形式,指令一般被分为两类,被执行的和不会被执行的。 不会被执行的指令 指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
指令
weixin_34310127的博客
07-03 335
本文作者:sodme本文出处:http://blog.csdn.net/sodme声明:本文能够不经作者允许随意转载、复制、引用。但不论什么对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能非常多人都听说过指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是指令?它的原理是什么?二、在什么地...
2024年网安最新Re 指令学习_dejunk 指令
最新发布
2401_84301352的博客
05-01 621
因此,插入的指令应当是一些不完整的指令,被插入的不完整指令可以是随机选择的。反编译器的工作原理是,从exe的入口AddressOfEntryPoint处开始,依序扫描字节码,并转换为汇编,比如第一个16进制字节码是0xE8,一般0xE8代表汇编里的CALL指令,且后面跟着的4个字节数据跟地址有关,那么反编译器就读取这一共5个字节,反编译为。顾名思义,可以执行的指令,这部分垃圾代码会在程序运行的时候执行,但是执行这些指令没有任何意义,并不会改变寄存器的值,同时反汇编器也可以正常的反汇编这些指令
[HDCTF2019]Maze(考点:去
Eneldo的博客
03-22 407
看到下方的if条件,如果走到坐标为(5,-4)处输出Congratulation,说明迷宫的出口为(5,-4)。那么我们按shift+f12打开string window,下拉可以看到我们需要的迷宫字符串,一共七十个元素,要折叠成矩阵要么是7×10,要么是10×7.再看到下面的asc函数初始值为7,dword函数初始值是0,可以判断迷宫的入口位置在(7,0),那么矩阵应该为七行十列。指令,调用的并不是一个地址,所以可以判断此处应该是添加了指令。掉,之后尝试建立主函数,如果不行的话再将下一个数据也。
ASM内存指令
qq_18811919的博客
02-05 299
//随便写的混淆指令用于被探测到调试后执行迷惑调试人员,很多实现效率很差欢迎大家留言改正。 _declspec(naked)void jmpFunction(DWORD Memory) { __asm { mov ebp,esp push ebp jmp dword ptr ss:[ebp+0x4] pop ebp retn } } _declspec(naked)void memoryCopy(void *SourceMemory,void *TargeMemory) { __a
idapython之指令
weixin_73384894的博客
01-03 739
idapyhon
CTF逆向-[SCTF2019]babyre-WP_简单去指令和流程识别
serfend's blog
03-24 4481
CTF逆向-[SCTF2019]babyre-WP_简单去指令和流程识别 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/1pWTpezTXnr_NN4lY9xWzag?pwd=m2zv 提取码:m2zv 答案:flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)} 总体思路 发现汇编中出现有红色部分,则说明反汇编失败,通常是有指令或者说SMC(程序自己修改自己的代码)。 去除
2023江苏省赛任务三CTF-Reverse
12-10
1.对RE1进行逆向分析,找出文件中的FLAG并提交;(8分) 2.对RE2进行逆向分析,找出文件中的FLAG并提交;(12分) 3.对RE3进行逆向分析,找出文件中的FLAG并提交;(15分) 4.对RE4进行逆向分析,找出文件中的...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
指令生成器(GUI).rar
11-27
指令生成器(GUI).rar
ctf-wscan-master.zip
12-08
"ctf-wscan-master.zip" 是一个用于CTF(Capture The Flag)竞赛的工具集合,特别设计在Linux环境下运行。CTF是一种网络安全竞赛,参与者通过解密、逆向工程、漏洞挖掘等方式攻防对抗,争夺虚拟"旗帜",即获取特定的...
指令问题——[HDCTF2019]Maze
热门推荐
sid10t.
06-14 3万+
文章目录声明题目分析 声明 1)该文章部分内容整理自网上的资料,如不小心侵犯了大家的权益,还望海涵,并联系博主删除。 2)博主是萌新上路,文中如有不当之处,请各位大佬指出,共同进步,谢谢。   题目 题目链接:[HDCTF2019]Maze 分析 查壳, 有壳,直接工具去壳, 拖入ida, 可以看出这应该是核心代码,直接按F5,没有反应,分析一下代码, 这里jnz指令跳转到了下一行代码,相当于没跳转,可以推断出这段代码添加了指令,导致ida分析失败, 直接将这里的jnz指令nop掉, 如何
XCTF-攻防世界CTF平台-Reverse逆向类——54、echo-server(Linux32位ELF文件、指令混淆反汇编)
Onlyone_1314的博客
10-30 974
目录标题第一个指令混淆080487C1:第二个指令混淆080487F3:第三个指令混淆08048816:第四个指令混淆08048859:修改程序跳转逻辑方法1:方法2:题外话:   下载附件,查看信息:   是Linux下的32位ELF文件,运行程序:   发现是一个输入字符串,将字符串中的每个字符转换成对应的ASCII码输出的程序   用IDA打开,先查看字符串窗口:   有一些用到的字符串:   “Echo Server 0.3 ALPHA”这个在我们上面运行程序的时候见过了:   就
抗去除指令(一)——指令基础
lixiangminghate的专栏
01-04 2884
转自 http://blog.csdn.net/yangbostar/article/details/6194133 入门知识,高手勿读 一、 概述 指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的
re学习笔记(34)BUUCTF-re-[HDCTF2019]Maze 指令去除
逆向随笔
02-03 3452
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:[HDCTF2019]Maze 题目下载:点击下载 IDA载入 可以看出这应该是关键代码的一部分。 这里jnz跳转到了下一行代码,相当于没跳转 而下面的call near ptr 0EC85D78Bh调用了一个不是地址的地址,可以推断出这段代码添加了指令,IDA分析失败了。 可以确定这个jnz指令指令,还有下面的call指令。 先将j...
buuctf [HDCTF2019]Maze的手脱upx和指令
v_3483608762的博客
09-25 447
1,首先放到peid里面看一看有没有壳,发现有upx壳,想着自己放到od里面去手脱。(想练习od) 2,程序一开头就是push 可以用ESP定理来脱壳,走到第二步看到esp的地址。 看到esp的地址之后,最下面的command输dd esp的地址 来跳到那个地方,然后右键下硬件断点(选中地址右键断点内存访问,word) 3,然后f8一步步走,发现这个下面就是一个循环所以f4跳过到jmp short maze,然后发现oep 4,然后用吾爱带的插件ollydump脱掉壳,脱壳当前程序 下面那个方法一,方
CTF中常见的编码,代码混淆及加、解密
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-27 6274
其实刚开始我对编码与加密的概念区分的不是非常清楚,一度以为加密就是对信息进行编码,这是一种错误的观点。编码是将数据信息转化成一种固定格式的编码信息,而加密是为了保证信息传输的安全性,两者还是有区别的。接下来就给大家讲讲编码与加密、解密。 一,编码 编码是为了方便不同系统间的信息传输,将数据转化成固定格式的信息,通过编码可以得到原始信息。常见的编码我们都已经很熟悉了,比如ASCII编码、URL编码、...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeeOrange_13

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值