【逆向学习】花指令的去除

已于 2024-01-03 08:43:32 修改
阅读量3.1k 收藏 22
点赞数 3
分类专栏: Re 文章标签: 学习 python c语言
于 2023-04-22 21:51:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WangLal/article/details/130299098
版权

花指令

我在做逆向的题目的时候,经常会遇到需要自己将一堆乱码用IDA分析构建成函数,但函数却无法仍然无法使用f5进行编译,就是因为存在花指令的缘故。花指令经常被作为一种手段来增加代码分析的难度。我就打算记录一下几种解决花指令的方法。

手动nop

我们在用IDA用C构建函数时,其实很容易发现花指令,只要将这些花指令NOP掉就可以了。
这个标红的地方很明显就是花指令。
在这里插入图片描述
到那个位置,把它NOP掉
在这里插入图片描述
main函数就成功出来了
在这里插入图片描述
手动不成功的情况就需要具体分析了。
比如这一题**[MoeCTF 2022]chicken_soup**
在这里插入图片描述

在这里直接nop掉jmp是没用的,我也不知道具体原因,搜了这一题的WP才知道,当出现jn,jnz时,就代表一定会跳,肯定跳转 下面位置即 C7 45 F8 这里。E9命令会略过,不会执行。所以先用U转换数据再Ctrl+N,nop掉E9, 再F5,就可以了。
在这里插入图片描述
函数就出来了
在这里插入图片描述
但有些时候,NOP掉之后可能仍然无法F5,但是出现了黄色的代码位置,就直接用C键将黄色区的数字转换成代码就行(全部转完)。

直接用IDA动态调试(有一定几率可以直接出来)

实在找不到花指令的时候可以动态调式试一下。
在这里插入图片描述
但是有些时候动态出来的更加准确,这个图中的main函数和上面图中的那一个是同一个函数,很明显,这个更加准确。

用代码来去除花指令

当代码中存在大量花指令时,可以使用IDC代码或者python去解决。

范例

startaddr = 0x1135#起始位置
endaddr = 0x3100#终点位置
在这里插入图片描述
这段代码是大佬的
for i in range(startaddr,endaddr):
if get_wide_byte(i) == 0xEB:#需要去除掉花指令
if get_wide_byte(i+1) == 0xFF:
patch_byte(i,0x90)#nop指令的16进制为90h

使用方法
在这里插入图片描述
在这里插入图片描述

总结

后面遇到更多有关花指令的题目还继续总结的。

参考的博客

1.https://www.cnblogs.com/wgf4242/p/16654971.html
2.https://blog.csdn.net/qq_20031585/article/details/124028238
3.https://www.ctfer.vip/note/set/453

Wanglpl
关注
  • 3
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
逆向学习笔记(二)(指令与MFC)
weixin_43742794的博客
08-02 413
指令 指令指的是没有作用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 { 现代反汇编器有两种思路: 线性扫描 从开头到结尾依次读取机器码并进行反汇编 递归下降(ida) 从程序入口向后反汇编,遇到条件跳转则分别从分支的地方继续反汇编,无条件跳转则尝试从目的指令继续反汇编 } 今天学习了会干扰反汇编、影响机器码解析但不影响正常机器码的类型 例如构建一定成功的跳转(jz+jnz)(xo...
手动去除指令
qq_43335618的博客
07-14 2730
指令的作用 指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误,使ida和ollydbg等搜索不到字符串。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。 缺点:不能防止动态调试 以以下代码为例: #include <iostream> int main() { _asm { xor eax,eax t
易语言指令去除
06-22
很不错的软件,相信大家都喜欢
ARM汇编常用指令空操作NOP指令
热门推荐
xwlxw的专栏
02-02 1万+
0x1 有时候,我们不得不需要修改BL或者Jl之类的指令,改为什么也不做,这个NOP指令就派上用场了。 IDA 把DWord 00 00 A0 E1识别为NOP指令。所以在需要NOP的地方,用前面的双字替换就可以了。
指令简析
m0_46296905的博客
05-30 3167
几种指令简析一、指令1(一)反汇编代码比对(二)去1.手动改字节2.IDC去 本篇博客我们将给用下面源代码编译出的程序加不同的指令来分析,并学习如何去除指令 //实现求n的m次方 #include<stdio.h> #include<windows.h> int main() { MessageBox(NULL, "未加指令", "YQC", 0); int n, m, result=1; printf("请输入n和m:\n"); scanf_s("%d%d"
IDA pro 如何nop 掉关键点
大哥一声吼
10-23 6975
这个需求呢,类似于OD 中的直接nop,碰到各种奇葩的反调试,暴力nop 掉最省事了。 那么IDA pro中的nop 在哪里呢? 这个需要好好找一找,下面贴出图片
[MoeCTF 2022]chicken_soup
最新发布
Nike_name的博客
03-18 404
指令
指令手动清除-保姆级教学【逆向系列】
shutTD的博客
02-29 929
逆向系列
【CTF-Reverse】指令
LeeOrange_45的博客
01-28 1118
学习笔记()整理
re学习笔记(34)BUUCTF-re-[HDCTF2019]Maze 指令去除
逆向随笔
02-03 3468
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:[HDCTF2019]Maze 题目下载:点击下载 IDA载入 可以看出这应该是关键代码的一部分。 这里jnz跳转到了下一行代码,相当于没跳转 而下面的call near ptr 0EC85D78Bh调用了一个不是地址的地址,可以推断出这段代码添加了指令,IDA分析失败了。 可以确定这个jnz指令指令,还有下面的call指令。 先将j...
最新正式版指令清除
08-31
3. **反混淆**:使用专门的工具或自定义脚本来去除指令,恢复原始代码。这可能涉及到对指令序列的模式识别、解密算法的逆向工程以及对数据流和控制流图的分析。 4. **签名更新**:一旦成功解析出恶意代码的真正...
【技术分享】指令总结 .pdf
09-05
- 利用IDA(Interactive Disassembler)等反汇编工具手动或编写脚本去除指令。 4. 指令的类型: - 简单指令:如直接的JMP跳转,但现代反编译器可以轻易识别并绕过。 - 多节形式和多层乱序:通过多次跳转和...
Java逆向破解技术探讨
08-24
Java逆向破解技术是针对Java编程语言的一种安全研究方法,旨在分析和研究被加密或混淆的Java...Java逆向破解技术的应用案例主要包括分析加密算法、漏洞挖掘与修复以及学习和研究等方面。通过分析加密算法,我们可以揭
去除控制流平坦化的defalt脚本
02-17
"去除控制流平坦化"是一个逆向工程中的概念,通常涉及到对二进制代码或汇编语言的分析,以理解其原本的逻辑结构。控制流平坦化是一种用于混淆代码的技术,它使得恶意代码更难以被静态分析工具解析。这种技术通过消除...
c语言指令怎么去除,[原创]去除指令的代码
weixin_30152861的博客
05-20 375
52008-10-3 05:46// A Test Simple#define WIN32_LEAN_AND_MEAN#include "windows.h"//找出指令的位置并去掉指令void FindFlowerCodeAndRemove2(LPVOID src, LPVOID flw, int nSrcLen,int nflwLen){__asm{xor eax,eaxpush esip...
去除指令(一)——指令基础
lixiangminghate的专栏
01-04 2891
转自 http://blog.csdn.net/yangbostar/article/details/6194133 入门知识,高手勿读 一、 概述 指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的
IDA使用教程 修改汇编指令
m0_43406494的博客
10-16 6577
注记:点击Hex窗口时,会自动把一条汇编指令的二进制数据组合在一起高亮显示,如上面mov eax,0 B8是指令类型对应的编码,00 00 00 00四个字节是操作数0 由此可以看到一条指令占的多少字节(相比OD还是麻烦了点) 因此call _remove 指令占5个字节 Edit -> Patch program -> Assemble 将call _remove改成nop ...
IDA学习经验和实战记录--手过指令(1)
涛之雨の技术天地
01-01 6562
IDA学习经验和实战记录--手过指令(1)侦壳脱壳发现问题OD辅助分析IDA实现引入分析指令情形一情形二情形三情形四脚本去除 实验软件下载地址 侦壳 什么都没有查到 应该是自己编写的加密方式 (本身这就是一个加壳软件) 脱壳 发现问题 用IDA打开后,发现最底下是红色的,且有很多黑色部分(未知) 还有大部分的data数据,而且没有发现已解锁的函数(蓝色部分) 需要进行脱壳 OD辅助分析...
c语言指令怎么去除,[求助]去除驱动指令--编写IDC脚本-问题
weixin_27303545的博客
05-20 342
32008-10-15 13:44根据图片信息用IDA模拟结果如下:10460 E9 17 01 00 00 90 90 90 90 90 8D 85 38 FF FF FF10470 50 6A 14 68 40 22 01 00 E8 23 FE FF FF 0F 82 0710480 00 00 00 0F 83 01 00 00 00 E8 8D 85 38 FF FF FF1...
逆向工程push指令
10-15
push指令是汇编语言中的一种指令,用于将数据压入栈中。在逆向工程中,我们可以通过反汇编程序将机器码转换为汇编代码,从而分析程序的执行过程。下面是一个简单的push指令的例子: ``` push eax ``` 这条指令将寄存器eax中的值压入栈中。在执行这条指令之前,栈顶指针会先减去4个字节,然后将eax中的值存储到栈顶指针所指向的内存地址中。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值