花指令

最新推荐文章于 2023-01-28 23:52:44 发布
最新推荐文章于 2023-01-28 23:52:44 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: iOS C++ windows linux mac 文章标签: 花指令 iOS 代码混淆
iOS 同时被 3 个专栏收录
127 篇文章 0 订阅
订阅专栏
mac
14 篇文章 0 订阅
订阅专栏
linux
9 篇文章 0 订阅
订阅专栏

转自:https://www.cnblogs.com/lcchuguo/p/4550295.html

这篇文章将讨论以下问题:

一、什么是花指令?它的原理是什么?
二、在什么地方使用花指令?怎样使用花指令?
三、怎样识别花指令?怎样去除花指令?
四、一些典型的花指令实例

什么是花指令?当然不是"flower code",呵呵,实际上,把它依照“乱指令”来理解可能更贴切一些,它的真正英文名应该叫"thunkcode"吧(不确定,呵呵)。我们知道,汇编语言事实上就是机器指令的符号化,从某种程度上看,它仅仅是更easy理解一点的机器指令而已。每一条汇编语句,在汇编时,都会依据cpu特定的指令符号表将汇编指令翻译成二进制代码。而日常应用中,我们通过VC的IDE或其他如OD等反汇编、反编译软件也能够将一个二进制程序反汇编成汇编代码。机器的一般格式为:指令+数据。而反汇编的大致过程是:首先会确定指令開始的首地址,然后依据这个指令字推断是哪个汇编语句,然后再将后面的数据反汇编出来。由此,我们能够看到,在这一步的反汇编过程中存在漏洞:如果有人有益将错误的机器指令放在了错误的位置,那反汇编时,就有可能连同后面的数据一起错误地反汇编出来,这样,我们看到的就可能是一个错误的反汇编代码。这就是“花指令”,简而言之,花指令是利用了反汇编时单纯依据机器指令字来决定反汇编结果的漏洞。

先举个样例(记为A代码段):
   jz label
   jnz label
   db thunkcode
label:

以上是一个相当简单的花指令块,当中thunkcode是由应用者自己随便写的机器指令字,当然,你写的这个机器指令字不能是单字节指令(比方nop, clr,等),否则,你的花指字就相当于白加了。那么,你要怎样来使用这段代码呢?

如果我们待加密的代码块例如以下(记为B代码段):
   mov ax, 8
   xor ax, 77
   …

我们如果这B代码段是我们的加密算法所在的代码段,如今我们想要对B代码段进行保护,能够直接将A花指令块加到mov指令之前,形如:
   jz label
   jnz label
   db thunkcode
label:
   mov ax, 8
   xor ax, 77
   …

当中,对于thunkcode,在实际使用时,能够使用不论什么一个多字节指令的机器指令字来取代,这样就会欺骗反汇编软件将它连同后面的mov指令的前边某一部分反汇编成一个多字节指令。这样,我们的目的也就达到了。

由上能够看到,使用了花指令的地方,一般都会出现这样的现象:一个跳转指令,跳转到了某条语句的中间位置,而不是这条语句的開始位置。每当出现这样的情况时,我们就能够断定,这里出现了花指令。

显然地,破解它的办法,就是在那个跳转到的目的地址之前将中间的代码所有nop掉。

当然,为了加强难度,我们能够将若干个花指令结合起来使用。比方:
   jz label
   jnz label
   db thunkcode
label:
   jz label2
   jnz label2
   db thunkcode
lable2
   mov ax, 8
   xor ax, 77
   …

也当然,针对这样的情况的破解仅仅要一层层解开它就可以:我们能够先破解到以label为首字节的指令出现为止,然后再依据新的结果,破解到以label2为首字节的指令出现为止,尽管这样麻烦点,但还是不难的。

可是,如果把以下的这段代码再同其他花指令结合起来使用,可能就更复杂了:
   call label_1
   db thunkcode
   jmp label_2
   db thunkcode
label_1:
   pop eax
   jmp label_3
   db thunkcode,thunkcode,thunkcode
label_3:
   inc eax
   jmp label_4
   db thunkcode,thunkcode,thunkcode
label_4:
   jmp eax
   db thunkcode
label_2:
   …

这里另一段:
   call label_1
   db thunkcode,thunkcode
   jmp label_4
label_1:
   pop eax
   jmp label_2
   db thunkcode,thunkcode
label_2:
   add eax,2
   jmp label_3
   db thunkcode
label_3:
   push eax
   ret
   db thunkcode
label_4: …

为了加强难度,尽可能地用call和push实现间接跳转,当然,矛矛盾盾,仅仅是时间长点而已,世上没有绝对安全的系统。
<以上代码来源于看雪的"软件加密技术内幕"一书>

demondev
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF逆向Reverse 指令介绍 and NSSCTF靶场入门题目复现
Sciurdae的博客
10-10 2638
/(ㄒoㄒ)/~~指令又名垃圾代码、脏字节,英文名是junk code。指令就是在不影响程序运行的情况下,往真实代码中插入一些垃圾代码,从而影响反汇编器的正常运行;或是起到干扰逆向分析人员的静态分析,增加分析难度和分析时间。有句话,指令的目的是阻挠逆向人员的分析,并不是阻止。
指令总结
Captain_RB的博客
04-12 6063
指令又称脏字节,英文为"junkcode",顾名思义,即在程序中加入的一些垃圾指令,其目的是在不妨碍原有程序执行的前提下,阻碍程序反编译,增加静态分析难度,隐匿不想被逆向分析的代码块,混淆代码,绕过特征识别。本文将常见的指令进行归纳总结,作学习记录。
【CTF-Reverse】指令
LeeOrange_45的博客
01-28 1169
学习笔记()整理
初级指令
weixin_73384894的博客
01-03 424
指令
idapython之指令
weixin_73384894的博客
01-03 823
idapyhon
我的VC指令方法,VC指令,反跟踪技术
把梦想放飞在蓝色的天空里...
05-21 2586
在VC加入指令,我在几年前就尝试使用了,一点心得,大家交流: ----------------------------------------------------------- 1、首先,定义各种指令的宏,可以单独放到一个.h文件中,也可以直接在程序的首部定义,我建议放到.h文件中。 注意,所有转移标号和call的地址用相对地址符号$表示,以楼上的问题为例,格式如下:
ASM内存指令
qq_18811919的博客
02-05 312
//随便写的混淆指令用于被探测到调试后执行迷惑调试人员,很多实现效率很差欢迎大家留言改正。 _declspec(naked)void jmpFunction(DWORD Memory) { __asm { mov ebp,esp push ebp jmp dword ptr ss:[ebp+0x4] pop ebp retn } } _declspec(naked)void memoryCopy(void *SourceMemory,void *TargeMemory) { __a
抗去除指令(二)——有创意的指令
lixiangminghate的专栏
01-04 1524
一、概述 “jmp/call/ret+垃圾数据”这样的指令已经是相当“老掉牙”了,OD的插件对付它们基本是“秒杀”,所以本文想说点“有点创意”的指令,至少能对付OD的插件。   二、创意的核心 [2.1]指令因何被发现 “jmp/call/ret+垃圾数据”的方法之所以容易被检测,原因是“意图太明显”,具体说任何一种检测手段,都是基于以下两点: ①检测跳转结构的固定形态特征,当然
c语言加指令,指令的应用
weixin_31036949的博客
05-21 1790
原标题:指令的应用 对免杀的影响是非常大的,有效地利用指令可以使免杀工作事半功倍,甚至单凭指令就可以达到免杀的效果。一、指令在免杀领域的应用1、指令的应用技巧在使用之前,首先我们应该明白什么时候比较适合使用,同时还要清楚什么时候不适合。总的来说,应该在无壳的木马中应用,如果木马已经被加壳,那么我们必须要先脱壳然后再添加。不管是加壳还是加都可以看作是一种加密行为,因此一般都是先加然后再加壳...
指令的原理和常用指令收集
weixin_33728268的博客
05-03 810
指令的作用是对付静态分析,以下面一段程序说明一下指令的原理 代码 #include<iostream.h>#include<windows.h>voidmain(){_asm{jmpl2_EMIT0x1//这里就是指令_EMIT0x2//这里就是指令_EM...
程序免杀技术之——指令
人生代码,代码人生。。。
11-19 3785
指令(junk code) 意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。指令有可能利用各种 jmp, call, ret, 一些堆栈技巧,位置运算,等等 。 当然,指令也广泛运用到免杀技术中,不过随着杀毒技术以及虚拟机技术的不断升
指令必备的汇编指令总结
04-07 4504
1.寄存器介绍: (1).数据寄存器: 存放数据EAX、EBX、ECX、EDX(2).指针寄存器: 主要用途就是在存储器寻址时,提供偏移地址.ESP、EBP、EDI、ESIESP(堆栈指针寄存):是以“后进先出”方式工作的一个存储区,它必须存在于堆栈段中.EBP(基址指针寄存器):ESI(源变址寄存器):EDI(目的变址寄存器):2.数据传输指令:MOV--
给C语言添加指令,抵御反汇编
热门推荐
闲云野鹤专栏
01-17 1万+
给C语言添加指令,抵御反汇编   (1)未加程序 能正确反汇编 原程序: void Function() {   Input++;   Output++;   Input+=Output;   printf("函数结果:%d,%d",Input,Output); } 反汇编代码: IDA: .text:00401096            
APK保护方法之二:代码高级混淆 - 指令
altair86的专栏
12-04 1163
使用jd-gui查看class文件的时候,经常会发现有一些方法或类,无法正常的显示出来。  我们可以利用这个bug,来阻止jd-gui反编译我们的class文件。 首先反编译一个有源码的项目,用 jd-gui查看,找到无法显示的类或方法。对比源码找到是哪些代码引起的bug。然后把代码提取出来。这里拿我找的一段代码为例。   这段switch代码由于条件不
壳的指令代码实现
最新发布
05-30
指令是一种常见的壳技术,可以在保护程序的同时增加反调试、反反编译的难度。下面是一个简单的指令示例: ```assembly xor eax, eax push eax push 0x6f6c6c65 push 0x57202c6f push 0x646c726f push 0x00000021 mov ebx, esp push eax push 0x72747320 push 0x6d6f6320 push 0x20796e61 push 0x00000021 mov ecx, esp push eax push 0x65746365 push 0x61747369 push 0x20646573 push 0x00000021 mov edx, esp push eax push edx push ecx push ebx mov eax, esp jmp eax ``` 以上代码使用了一些奇怪的指令,例如将零寄存器 XOR 到另一个寄存器,将 0x21 等奇怪的常量压入栈中,以及使用多个 MOV 指令将栈指针保存到寄存器中。最后,我们使用 JMP 指令跳转到保存了栈指针的寄存器中,执行一段奇怪的代码。这样一来,即使程序被反汇编,也很难理解这段代码的含义,从而增加了反编译的难度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值