让 IDA 的 F5 插件失效

最新推荐文章于 2023-02-24 22:53:36 发布
最新推荐文章于 2023-02-24 22:53:36 发布
阅读量4.9k 收藏 3
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 vcbcbdelphi的window编程 文章标签: 汇编 delphi hook function 工具 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2778915
版权
似乎在 IDA 中使用 F5 已经成为了时尚,可以轻易的通过IDA中的汇编码转C代码插件反汇编别人的代码,即使没有一点汇编基础的人都可以反汇编了,这对我们写的程序是极大的威胁。唯一的办法就是加上几段花花(i like FlowrCode),让那些不懂汇编人离开反汇编的世界吧。。。

VC++ Code:

_asm
{
   jb label
   jnb label
   _emit 0xE8
label:
}

Delphi Code:

asm
begin
   jb label
   jnb label
   db $E8
label:
end;


很显然,这只是一段极其简单的花代码,但是对付 IDA 的   Hex-Rays Decompiler 插件却是很的效的,这段代码可以放在任意位置,如在VC++中:


NTSTATUS DriverEntry()
{
//随便位置写入即可
}


测试后就会出现下面这种情况了。。。 在 IDA 的 function 竟然找不到加入花代码的 Hook 函数了,见图1:

经过查找后,原来在这里,见图2:


然后 F5 试试看看可不可以把这段汇编代码转换成C代码?见图3:

哈哈。。。爽,达到我们的要求了,虽然人家还是可以看你的反汇编代码,但是总比人家直接看C代码好的多了。这招对付一些没有真本事,但又想偷学他人代码的人很有效哈。。。
 
花指令是对付一些静态反汇编工具最好的办法
iiprogram
关注
专栏目录
Android逆向之旅---Android中分析某短视频的数据请求加密协议(IDA动态调试SO)第一篇
编码美丽
12-31 1754
一、前景回顾大家会好奇这篇文章感觉有种似曾相识的感觉,标题不一样了?的确之前那篇文章因为某种原因被删了,为什么要删大家懂得!的确是我的过错,标题弄得太明显给某公司带来烦扰,所以就整理再发一次!看过的同学就当回顾,没看过的就认真看一下吧!不过本文会增加一个知识点,就是今天有个同学在看我的博客(博客这篇文章没有删)的时候发现,某音的应用已经做了安全提示了:看到最新版的应用已经开始检查设备是否安装Xpo
X-Argus X-Gorgon X-Ladon findcrypt和findhash查找疑似加密函数(五)
最新发布
asd456789as的博客
04-29 2073
经过脚本的作色后,再静态分析代码,发现还是不对:作色(也就是执行过)的代码数量不多,目测不超过15%,感觉不对劲:就算有OLLVM混淆,也不至于才执行了这么一点代码呀!怎么判定借鉴的是哪中算法了?),所以是需要写内存的,这里可能没有写的权限导致;
IDA Pro 5.5 带 F5 插件
05-22
IDA Pro 5.5 EXE/DLL文件反编译工具,自带F5插件,带破解工具,有说明文件
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言
12-28
IDA6.5版本下的F5插件 亲测可用 附教程 汇编转C语言 将压缩包解压,plugins中的文件放入IDA安装目录中的plugins文件夹,替换其余文件。 在打开时直接OK,选择文件,按F5同时双击函数,即可得到对应C语言代码
一个简单的 IDA f5插件问题分析
weixin_30414245的博客
10-27 992
有人提出问题,以下汇编f5结果缺失代码: .text:00000C18 Java_com_a_b_c .text:00000C18 PUSH {R3,LR} .text:00000C1A CMP R2, #2 .text:00000C1C BEQ loc_C38 .tex...
IDA F5 增强插件,还我源代码(一)
fenfei331的博客
07-12 3555
一、目标 许多年以后,面对IDAF5,奋飞将会想起,老李老板甩给他一本80x86汇编的那个遥远的下午。 那时的App的名字还叫exe、com。Asm程序员最后的荣光,就是面对黑洞洞的屏幕敲下DEBUG的那个不眠之夜。 后来App改名叫pe、elf了。IDA F5一下就是C程序员的狂欢,Asm程序员只能黯淡落幕了。默默的抱起小李老板新买的《C语言程序设计》。 时代的车轮呼啸而过,瑞士的同行给我们上了一课,ollvm一下,你妈都认不出来你了。 ollvm纪元都已经10年了,现在的混淆只有更狠,没有最狠。
【ios】大神论坛之iCleaner Pro 网络验证和注册算法分析
xiaotuge_always的博客
02-16 1413
0x00 本文缘起: 此App用来给ios越狱机器清理系统垃圾,用了的人都感觉良好。之前不懂iOS应用破解时就是找别人修改好的版本用,导致不能及时用上新版,后来通过学习了解iOS破解后有了自己破解的想法,当时信心满满咨询了C版,等我还没回过神来,C版已经分析写好注册机形式的插件直接注册了,但存在一个联网就注册失效的问题,之前的做法就是断网使用,这是去年之前的小经历,出于工作忙的原因我也没再分析,直到今天又想起此事,又重新捡起这个问题用软件,发现注册也失效了,然后跟C版要了之前注册插件的源进行参考分析,在此感
go语言反汇编linux,Go语言逆向去符号信息还原
weixin_35851553的博客
05-13 1651
一、实例在国内很多朋友都觉得golang的逆向分析很难,其实不然,和其他编程语言相比,go语言的函数太多。但是如果go语言不去符号话,则觉得和.net差不多难度(还是未混淆的)。本文就是要解决golang逆向过程中所遇到去符号化问题。图1是没有去掉符号信息的反汇编,可以看到GOLANG运行时的各函数名 , 第二张图是去掉符号信息的反汇编,GOLANG运行时的函数名都没了(样本准备,最好是在l...
Visual AssistX 10.9.2302分析练手记
AlbertLi
02-05 2375
Visual AssistX 10.9.2302分析练手记【附最绿色非替换和谐方案】 缘起 ​ Visual AssistX是广大Windows平台下C++开发人员的必备辅助工具,从Visual Studio 6.0开始就我就开始使用这款插件工具,不知不觉这款工具就成了我在开发过程中不可或缺的工具之一,一直伴随至今。 大过年的,如果不出去玩,不参加聚会,其实是一个很好的看看书、思考人生,...
用C/C++编写IDA pro插件
08-19
最近刚翻译整理完的IDA插件编写教程,pdf格式,为方便各位同道朋友,制作了目录和标签。原作者是Steve Micallef,作者网站www.binarypool.com
IDA 插件
u014006264的专栏
05-05 513
plugin_t PLUGIN = { IDP_INTERFACE_VERSION, // IDA version plug-in is written for 0, // Flags (see below) IDAP_init, // Initialisation function IDAP_term, // Clean-up function IDAP_run, // Main plug-in
最强反编译工具 ida pro 6.6 x86 arm x64 f5插件原始安装文件泄露版 + sdk_utils
大老的逆向专栏
01-18 1万+
最强反编译工具 ida pro 6.6 x86 arm x64 f5插件原始安装文件泄露版 + sdk_utils 完整安装包+6.6最新sdk工具包 国内某团购群泄露的的版本 x86 arm x64 f5插件为2.0的版本 正版价值人民币3-5万 6.6更新的内容 IDA: What's new in 6.6 x64 Decompiler It was tough a
ida pro 使用F5碰到的陷阱与总结(二)
feekee的自留研习地
10-30 942
前面写遇到了一个陷阱, 这里记录一下另一个v5(&loc_804C257, &v4);(其中v5=0),是在函数0804c217中, 我们看下F5自动翻译会出现哪些问题,如上。 那么,我们把v5(&loc_804C257, &v4)这段汇编代码改一下,让F5再运行一遍,看一下结果。 最后一张图是重新执行F5后的伪代码,这里pivot_root(,)的第二个参数变成了flags,而不是原先的a1。这估计是因为F5插件汇编代码更改以后,意识到了fl...
ida pro 使用F5碰到的陷阱与总结
feekee的自留研习地
10-29 2446
如下,直接上代码吧: 最近在做Flare-7 的break这道题,算是对linux下没有采用vm保护技术的crackme的一种挑战,遇到了下述的代码: 上图红色部分,明显执行时会报错;这是break这个crackme采取的一种机制,sub_0804C369这个进程是有另一个进程attach它的,并接收它的信号,进行相应的处理。上图红色部分会报SIGSEGV信号,查看调试它的进程的代码,如下: 可以看到,V34是栈保存的下一条指令,v33就是第一张图中的&loc_804c3c4,v32.
技巧学习
weixin_30814319的博客
12-16 118
目录 技巧学习 0x01 脱壳 0x02 dump傀儡进程 0x03 IDA Python去除花指令 技巧学习 对于一个刚刚入门病毒分析的小白来说,去学习一些优秀的病毒分析文章,按照文章中的步骤自己动手做一遍,可以学到很多东西。 有幸翻阅...
IDEA安装插件搜不到插件的解决方法
weixin_54260155的博客
02-24 404
File–>Settings–>Appearance & Behavior–>System Settings—>HTTP Proxy(修改为图片所示)1.通过设置代理和去掉使用安装链接的方式来解决的。解决idea安装所需插件插件搜索不到的问题。
IDA汇编/反编译静态分析iOS模拟器程序(五)F5反编译
热门推荐
hursing的博客
05-16 2万+
反编译是IDA最让人振奋的功能,它的本质是IDA的一个插件,不过会被当做hex-rays的另一个产品。既然是产品,那当然就另外收费,demo版是没有的。反编译的快捷键是F5,菜单位置在 顶部菜单View->Open Subviews->Pseudocode。 在显示反汇编的窗口中按F5,经过分析后,会多了一个标签栏Pseudocode-A: 继续上一节(可用两个浏览器窗口对比)的示
IDA解决不能f5报错问题
wumingpeng的专栏
05-18 4636
1 f5报错 2 打开栈指针 Options -> General 3找到报错的行的上面一行地址按Alt+k,改成0 5修复完后,f5就可以反编译成c的伪代码了
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值