自写x86代码变异混淆器及其相关思路

已于 2022-07-01 11:02:12 修改
阅读量1.6k 收藏 5
点赞数 1
分类专栏: 加密壳 逆向 文章标签: 反汇编 编译器
于 2021-03-04 11:00:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15059515/article/details/114363427
版权

前言

  1. 作为一个学习/练手的项目,自发写了一个保护x86的exe/dll的变异混淆器(Mutation),类似于CodeVirtualizer的那种(不过CV是VM保护,而且还支持sys)。分别用到了capstone、asmjit和cyxvc大佬的部分库。实现了代码多重变异,代码乱序,jcc指令转换,假分支干扰等功能。

  2. 相比VMP/TMD的变异保护,强度还可以。但是兼容性比较差,没有考虑程序的异常处理而且没经过大规模测试,可能会有很多bug,仅供参考学习。

  3. 本文仅分享一下我写Mutation混淆器的一些思路,希望能抛砖引玉。

正文

1.变异的基本思想(扫盲)

代码变异/代码混淆的根本思想都是**“等价替换”。在等价替换的前提下借用寄存器、栈、堆**等来膨胀代码,将1条指令替换成多条指令。

例如以下的mov指令

mov eax,ebx

可以借用ecx寄存器,将其变异成

mov ecx,ebx
mov eax,ecx

但是这样还不行,因为我们破坏了ecx的环境。还必须要先对ecx做一个保存,事后还原它。

push ecx
mov ecx,ebx
mov eax,ecx
pop ecx

这样一个最简单的代码变异就完成了。

2.指令分析处理的思路

要想写出自动化的变异工具,第一步就要先对目标指令进行逐步地拆解分析。

除了少部分没有Operand的指令(syscall等等),大部分指令都可以分为助记符(OP)+Operand的形式。即我们先在助记符这个方向上初步区分出指令来,再在此基础上从Operand的方向进一步拆分出指令的具体类型。

2.1先以助记符拆分
mov eax,ebx

以上面mov指令为例,我们借用capstone反汇编引擎,解析出这条指令的类别为“mov”。

//判断是不是mov指令
	if (strcmp(insn.mnemonic, "mov") == 0)
		return(_mov());

add eax,ebx

同理以add指令为例,也需先解析出他的指令类别为“add”

//判断是不是add指令
	if (strcmp(insn.mnemonic, "add") == 0)
		return(_add());

以此初步地区分出目标指令为mov指令还是add指令或是其他的指令类别。

2.2再以Operand拆分

Operand又分为3种情况,分别为:

reg(寄存器),imm(立即数,常数),mem(内存)

以上文解析出的mov指令为例,搭配这3种Operand的组合,又可进一步分出5种指令类型:

mov reg,reg
mov reg,imm
mov reg,mem
mov mem,reg
mov mem,imm

我们只要针对这5种指令类型写混淆规则,就可以将x86mov指令的所有情况包括进来。

当然,Operand其实还可以再往下分:根据Operand的位数又可以继续分出8位、16位、32位、(64位)。

如果想针对性地写的更细一点,可以选择再分一次。

以下是判断Operand类型的代码

		//mov reg,reg
		if (x86->operands[0].type == X86_OP_REG && x86->operands[1].type == X86_OP_REG)
			return(_mov_reg_reg(x86->operands[0].reg, x86->operands[1].reg));
		//mov reg,imm
		if (x86->operands[0].type == X86_OP_REG && x86->operands[1].type == X86_OP_IMM) {
			imm.address = (DWORD)insn.address;
			imm.imm_value = (DWORD)x86->operands[1].imm;
			imm.imm_offset = x86->encoding.imm_offset;
			imm.imm_size = x86->encoding.imm_size;
			return(_mov_reg_imm(x86->operands[0].reg, &imm));
		}
		//mov_reg_mem
		if (x86->operands[0].type == X86_OP_REG && x86->operands[1].type == X86_OP_MEM) {
			mem.address = (DWORD)insn.address;
			mem.disp_offset = x86->encoding.disp_offset;
			mem.disp_size = x86->encoding.disp_size;
			mem.base = x86->operands[1].mem.base;
			mem.index = x86->operands[1].mem.index;
			mem.scale = x86->operands[1].mem.scale;
			mem.disp = x86->operands[1].mem.disp;
			mem.mem_size = x86->operands[1].size;
			return(_mov_reg_mem(x86->operands[0].reg, &mem));
		}

		//mov_mem_reg
		if (x86->operands[0].type == X86_OP_MEM && x86->operands[1].type == X86_OP_REG) {
			mem.address = (DWORD)insn.address;
			mem.disp_offset = x86->encoding.disp_offset;
			mem.disp_size = x86
最低0.47元/天 解锁文章
Lixinist
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
obfusion, Obfusion C X86代码混淆库.zip
09-17
obfusion, Obfusion C X86代码混淆库 Obfusion - C X86代码混淆库这个库处理组装的X86机代码混淆,以便在逆向工程过程中更难阅读和分析。对于后面嵌入可执行文件的模糊 shellcode,应该能很好地工作。 如果shellcode已知安全产品,混淆过程
C++代码变异工具-灵活、高效工具,供大家学习研究参考
11-13
正则表达式可谓是相当强大,只要是它可以识别的字符串,都可以拿来做语句。通过配置,你可以使用任意字符,包括汉字进行编程,你可以把函数名放在后边或者干脆不函数名,你可以建立属于自己的语法风格;大名鼎鼎的C++编译就更不用说了,生成的程序效率极高。
delphi 实现屏幕旋转代码_X86指令混淆之函数分析和代码块粉碎
weixin_39542850的博客
11-29 158
转载:看雪学院 作者:三猫本文为看雪论坛优秀文章看雪论坛作者ID:三猫原理二进制分析的时候经常遇到经过混淆的函数,所以一直想自己学习实现一个简单的指令乱序demo,也不需要太复杂(其实就是自己菜而已)。能阻止IDA F5党(就是我)就可以了(能去混淆的师傅除外),常见的指令乱序是把一段代码根据jcc指令划分成若干基本块jcc指令通俗来说就是常见的跳转指令诸如jz,jnz,jmp....此类。基本块...
推荐开源项目:AsmJit——轻量级机码生成库
最新发布
gitblog_00097的博客
05-11 447
推荐开源项目:AsmJit——轻量级机码生成库 项目地址:https://gitcode.com/asmjit/asmjit 1. 项目介绍 AsmJit 是一个由C++编的轻量级库,专为机代码的动态生成而设计。该项目提供了一个强大且灵活的框架,允许开发者在运行时创建和执行高效的手动汇编代码。AsmJit 的目标是简化与底层硬件交互的过程,同时保持代码简洁易读。 2. 技术分析 AsmJit...
Windows x86 下的 静态代码混淆
weixin_30735391的博客
11-17 150
0x00 前言 静态反汇编之王,毫无疑问就是Ida pro,大大降低了反汇编工作的门槛,尤其是出色的“F5插件”Hex-Rays可以将汇编代码还原成类似于C语言的伪代码,大大提高了可读性。但个人觉得“F5插件”只能作为一项辅助手段,在结合动态调试和静态分析之后,了解了整个函数的流程再利用F5看“C语言”代码才是最佳的手段。而这篇文章就是学习如何手”花指令“,来干扰ida的静态分析和”F5插件...
[技术讨论]程序代码是否可能发生自我变异
青润心情
02-24 2922
问题:还是老话题,很远的未来,当科技发展到一定高度,程序代码是否可能发生自我变异,导致人类无法掌控机的局面,甚至机成为人类对手。这个问题听起来很幼稚,但确实是一个值得思考的问题。我的回答:那个优化,也是有限的程序范围内的设定,只不过是一些算法的运行结果而已。 lz的话题没啥意义,这种情况不可能发生。 换句话说,机自我意识的产生也应该是程序模拟实现的结果,而模拟实现必须有代码运行为基础,在
x86,x64 汇编代码注入 C,C++
04-15
《x86,x64汇编代码注入的C/C++实现详解》 在计算机编程领域,代码注入是一种技术,它允许程序将代码插入到另一个正在运行的进程上下文中执行。这种技术通常用于调试、系统监控、性能优化,但也可能被滥用进行恶意...
汇编代码注入,支持x64和x86
04-04
《汇编代码注入:x64与x86平台的深入探讨》 汇编代码注入是一种在软件开发和逆向工程中广泛使用的工具,它允许开发者将汇编代码注入到正在运行的进程或系统中,以实现特定功能或进行调试。本文将围绕这个主题,...
莫离汇编代码注入(X86X64)
04-04
《莫离汇编代码注入(X86X64):深入理解代码注入技术与实践》 在IT领域,代码注入是一种技术手段,用于在运行时向其他进程或应用程序注入自定义代码,以实现特定的功能或者对目标程序进行调试、监控、篡改等操作。...
从0自己的Linux x86操作系统课程
07-25
视频课程分享,希望对大家有帮助。 从0自己的Linux x86操作系统课程
探索Vary:一款高效、灵活的Python代码变异测试工具
gitblog_00022的博客
04-25 295
探索Vary:一款高效、灵活的Python代码变异测试工具 项目地址:https://gitcode.com/Ucas-HaoranWei/Vary 项目简介 Vary 是一个由Ucas团队开发的Python库,主要用于自动化代码变异测试。它通过引入有意的程序错误(即“突变”)到源代码中,然后检查原有测试套件是否能够捕获这些错误,从而帮助开发者提高测试覆盖率和代码质量。 技术分析 1. 突变生成...
多点路径规划matlab代码-CE_Mutation:用于控制进化研究和仿真的变异工具
05-26
多点路径规划指标网络物理突变工具 该工具是内布拉斯加州林肯大学完成的工作的一部分。 作者姓名:和。 定义 突变-在目标文件的源代码中更改某些语句。 Mutator-一种自动在编程文件上进行突变的软件工具。 Mutationdocker-配置为运行mutator的虚拟机环境。 突变-更改了与原始程序不同代码的编程文件。 关于 网络物理突变工具是内布拉斯加大学林肯分校的一部分。 该工具分为五个不同的阶段: 安装工具-下载并构建-阅读本文档的“工具运行-逐步教程”部分。 生成突变体-使用“ ./mutator”命令,执行顺序为./runco​​nfiguration(如果config.txt文件已更改),然后是make,然后是工具执行。 突变编译-使用“compilerun.bash”的剧本-在改变路径compilerun.bash取决于你的项目。 可变执行-使用“ runsave.bash”脚本-根据您的项目更改runsave.bash的路径。 结果分析-使用MATLAB:copyright:脚本,请参见本文档的“文件夹结构”部分。 通常,每个变异工具都有不同的输入,某些变异工具需要功能/子例程作为输入。 网
x86 一致 代码
QXZ06的专栏
03-31 521
道生一 一生二 二生四 四生万物 任何事物的发展都是有起源,如果你了解了起源,就明白了事情发展的边界。编程也是一样,有时我们会被上层软件设计者展现出来的各种特性所迷惑,我们有时不明白这样设计的理由,有时想当然的使用这些到特定情况下才能使用的设计。 了解事物的本质,是一个理想主义者。 了解事物的用途,是一个实用主义者。 两者本无可厚非,但是本质和用途也不是割裂的,往往是有着密切的联系。
DeepMutation 变异操作实现代码
年糕的博客
06-28 597
cnn_operator.py 前馈神经网络的变异操作 # 神经元随机阻塞 def random_select(total_num, select_num, layer_list, layer_dict): """ :param total_num: :param select_num: :param layer_list: :param layer_dict: :return: """ indices = np.random.choice(
编码的喜悦……以及Java中的变异测试
最佳 Java 编程
05-21 311
多年以来,为源代码单元测试一直是一种好习惯。 并且还可以使用测试覆盖率报告来查看测试覆盖了多少代码。 尽管行+分支覆盖率报告非常有用,但是它并不能告诉您单元测试的实际效果。 因此,甚至在测试中没有一个断言的情况下,甚至有可能达到100%的覆盖率。 对更好的测试方法感兴趣,我参加了今年的“ 欢乐编码 ”会议期间的“突变测试”研讨会。 变异测试是执行和分析单元测试的结果及覆盖范围的一种...
X86汇编代码分析-函数调用
xxxx的博客
03-24 1747
1) int add(int i, int j) { return i + j; } int main() { int a = 1; int b = 7; a = add(a, b); printf("%d\n",a); } 汇编代码: .file "ex3.c" .text .globl add .type add, @function add: .LFB0: .cfi_startproc pushq %rbp # rbp入栈, 把rbp里的
多态变异!一种保护JS代码的高级手法
w2sft的博客
02-04 385
在JShaman平台,有一种被称为“多态变异”的JavaScript(JS)代码保护方法。 从名称看,可能让人心存疑惑:何为多态?如何变异? 下面,通过实际操作体验一下: 1、提供要保护的JS代码,并进行保护。 保护之后,会出现一个引用地址: 2、打开地址,可以发现,是保护过的密文JS代码: 刷新页面,代码就会发生变化: 每刷新一次,代码变异一次。因为变异,那么代码就成为了多态形式。这就是多态变异技术。 3、如果在Html页面中用...
X86汇编快速入门
Walker501的博客
06-11 906
Tips:本文非原创,是学习过程中找到的资料,出处已忘,侵权联删~ 本指南描述了32位x86汇编语言编程的基础,涵盖了可用指令和汇编指令的一个小但有用的子集。有几种不同的汇编语言用于生成x86机码。我们将在CS216中使用的是Microsoft宏汇编(MASM)汇编。MASM使用标准的Intel语法来编x86汇编代码。 完整的x86指令集又大又复杂(Intel的x86指令集手册包括超过2900页),我们在本指南中没有涵盖所有内容。例如,x86指令集有一个16位子集。使用16位编程模型可能相当复杂。它
X86代码段概念||寄存
lgq0409的博客
11-11 471
一. X86段,代码段概念 (X86有20根地址线,寻址能力为1MB,CPU为16位,一次处理16位二进制数,采用物理地址=段地址X16+偏移地址的方式寻址。) 编程需要时,可以将内存空间的一段连续的地址定义为一个段。 其中段地址一定是16的倍数,即一个个位为0的16进制5位数。段的最大长度受到偏移地址寻址能力的制约,X86偏移地址寻址能力为64KB。 存放代码的段内存称之为代码段,将一段...
如何将x86驱动得代码成linux得代码驱动
03-23
将x86驱动的代码成Linux的代码驱动需要进行以下步骤: 1. 确认硬件设备的架构和规格,以便确定需要的驱动程序类型和版本。 2. 确认Linux内核版本和配置,以便确定需要的驱动程序接口和功能。 3. 根据硬件设备的规格和Linux内核的配置,编或修改驱动程序的源代码,以便适应Linux内核的接口和功能。 4. 编译和安装驱动程序,以便在Linux系统中加载和运行。 具体的改过程需要根据具体的硬件设备和Linux内核版本进行调整和优化,需要有一定的Linux内核编程和驱动程序开发经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值