简单花指令

已于 2024-08-02 18:02:42 修改
阅读量94 收藏 1
点赞数 1
分类专栏: 小仓个人笔记 文章标签: 网络安全 安全
于 2023-11-12 13:40:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74148881/article/details/134359607
版权
文章讲述了花指令,一种用于干扰反汇编软件的编程技术,通过设计可执行和不可执行的花指令来增加静态分析的复杂性,如使用E8跳转指令和设置永真条件跳转。作者还提供了清除和重构函数的方法示例,以及参考了NewStarCTF2023Petals比赛中的应用。
摘要由CSDN通过智能技术生成

概念

花指令:目的是干扰IDA和OD等软件对程序的静态分析。使这些软件无法正常反汇编出原始代码

常用的两类反汇编算法:
1.线性扫描算法:逐行反汇编(无法将数据和内容进行区分)(例如OD)
2.递归行进算法:按照代码可能的执行顺序进行反汇编程序(例如IDA)

可执行花指令

这部分花指令代码在程序的正常执行过程中会被执行,但执行这些代码没有任何意义,执行前后不改变任何寄存器的值(eip除外),同时这部分代码也会被反汇编器正常识别

这种花指令的首要目的依然是加大静态分析的难度,让你难以识别代码的真正意图,并且可以破坏反编译的分析,使得栈指针在反编译引擎中出现异常

不可执行花指令

虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类花指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxxx)

这类花指令一般不属于CPU可以识别的操作码,那么就需要在上面用跳转跳过这些花指令才能保证程序的正常运行

实现(重点掌握)

简单花指令

0xe8是跳转指令,两个跳转一个指向无效数据,一个指向正常数据来干扰递归扫描算法

 

简单jump

干扰线性扫描算法

永真条件跳转

通过设置永真或者永假使得程序一定会执行

清除 

右键Patching--change  byte,修改E8(有时候是E9)为90(nop)

右键nop整行伪代码范围

Create function重构函数,F5查看伪代码

例题: NewStarCTF 2023 Petals 

参考资料:花指令详解_Kidder111的博客-CSDN博客

M0th@n
关注
专栏目录
c语言加指令,指令的应用
weixin_31036949的博客
05-21 1793
原标题:指令的应用 对免杀的影响是非常大的,有效地利用指令可以使免杀工作事半功倍,甚至单凭指令就可以达到免杀的效果。一、指令在免杀领域的应用1、指令的应用技巧在使用之前,首先我们应该明白什么时候比较适合使用,同时还要清楚什么时候不适合。总的来说,应该在无壳的木马中应用,如果木马已经被加壳,那么我们必须要先脱壳然后再添加。不管是加壳还是加都可以看作是一种加密行为,因此一般都是先加然后再加壳...
指令如何用c语言编写,逆向学习笔记之指令
weixin_39880301的博客
05-23 1064
概念指令是企图隐藏掉不想被逆向工程的代码块(或其它功能)的一种方法,在真实代码中插入一些垃圾代码的同时还保证原有程序的正确执行,而程序无法很好地反编译, 难以理解程序内容,达到混淆视听的效果。简单的说就是在代码中混入一些垃圾数据阻碍你的静态分析。指令分类指令大致可以分为可执行指令和不可执行指令两类:可执行指令可执行指令指的是这部分指令代码在程序的正常执行过程中会被执行但执行这些代码...
指令实现分析
m0_62280492的博客
07-09 852
分析常见指令的实现方法和去除方法
指令入门
紫晓暮雾的博客
10-22 9043
原文来自看雪论坛PEdiy.com,原作者yangbostar 【其一:入门的入门】 一、概述      指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。 二、指令分类 [2.
指令详解
m0_51246873的博客
10-04 4929
逆向CTF之令详解
【RE】指令
Daphneohh的博客
06-03 788
指令概念分享
指令基础
WHACKW的专栏
01-06 923
入门知识,高手勿读 一、 概述 指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。   二、指令分类 [2.1]可执行式指令 顾名思义,可执行式指令指的是能够正常运行的但又不改变原始程序逻辑性
简单学习指令
2303_79822944的博客
03-06 611
emit 0x01;_emit 0x00;_emit 0x00;_emit 0x00;push ebx;#将ebp的地址存放于eax​#该地址存放的值正好是函数返回值,#不过该地址并不固定,根据调试所得。#加26正好可以跳到下面的mov指令,该值也是调试计算所得​pop eax;pop ebx;pop eax;jmp eax;_emit 0xE8;_emit 0x03;_emit 0x00;
指令
demondev
06-14 1974
这篇文章将讨论以下问题: 一、什么是指令?它的原理是什么? 二、在什么地方使用指令?怎样使用指令? 三、怎样识别指令?怎样去除指令? 四、一些典型的指令实例 什么是指令?当然不是"flower code",呵呵,实际上,把它依照“乱指令”来理解可能更贴切一些,它的真正英文名应该叫"thunkcode"吧(不确定,呵呵)。我们知道,汇编语言事实上就是机器指令的符号化,从某种程度上看,它...
【技术分享】指令总结 .pdf
09-05
- 简单指令:如直接的JMP跳转,但现代反编译器可以轻易识别并绕过。 - 多节形式和多层乱序:通过多次跳转和嵌套结构,增加反编译难度,但依然不难被反编译器解析。 - 条件跳转:利用互补条件(如JZ和JNZ)形成跳转...
指令添加器,自动添加指令
08-02
不用你自己麻烦,自动添加指令,很简单
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8459
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
AI在医学领域:医学AI的安全与隐私全面概述
声纹感知 洞察芯声
09-12 1398
本文通过系统化地检查医疗应用领域并为未来的攻击研究奠定基础,提供一个医疗领域AI攻击研究的全面视角。
【双语新闻】AGI安全与对齐,DeepMind近期工作
qq_29883477的博客
09-13 1001
的开发和运行,包括危险能力评估)。这还没有达到我们的需求:诚实策略的时间复杂度只在人类可判断的论证长度上是多项式的,而我们希望它在AI可判断的论证长度上是高效的。我们已经看到了一些使用Tracr的例子,但其使用的范围并没有如我们所希望的那样广泛,因为由Tracr生成的模型与在野外训练的模型有很大的不同。:尽管这项工作未能实现其雄心勃勃的目标,即在超置的早期MLP层中机械地理解事实是如何计算的,但它确实提供了进一步的证据表明超置正在发生,并否定了关于事实回忆可能如何运作的一些简单假设。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1152
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
【农信网-注册/登录安全分析报告】
最新发布
09-16 708
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
无限边界:现代整合安全如何保护云
网络研究观
09-15 789
通过工具之间更有效的数据共享,整合的安全平台还应提供更紧密的安全集成以及更强的系统可视性(无论是在云端还是在本地),让您能够看到无限周界的边缘。
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 531
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能做到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
壳的指令代码实现
05-30
指令是一种常见的壳技术,可以在保护程序的同时增加反调试、反反编译的难度。下面是一个简单指令示例: ```assembly xor eax, eax push eax push 0x6f6c6c65 push 0x57202c6f push 0x646c726f push 0x00000021 mov ebx, esp push eax push 0x72747320 push 0x6d6f6320 push 0x20796e61 push 0x00000021 mov ecx, esp push eax push 0x65746365 push 0x61747369 push 0x20646573 push 0x00000021 mov edx, esp push eax push edx push ecx push ebx mov eax, esp jmp eax ``` 以上代码使用了一些奇怪的指令,例如将零寄存器 XOR 到另一个寄存器,将 0x21 等奇怪的常量压入栈中,以及使用多个 MOV 指令将栈指针保存到寄存器中。最后,我们使用 JMP 指令跳转到保存了栈指针的寄存器中,执行一段奇怪的代码。这样一来,即使程序被反汇编,也很难理解这段代码的含义,从而增加了反编译的难度。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值