逆向-修复花指令得到源代码

于 2023-11-22 22:35:36 发布
阅读量156 收藏 1
点赞数
分类专栏: CTF-reverse 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45313512/article/details/134564021
版权
本文介绍了如何处理逆向工程中遇到的花指令问题,通过编辑和修补程序来修正IDA的错误解析,确保函数地址正确,并利用NOP指令清理无用代码,最后刷新反编译窗口以更新伪代码。
摘要由CSDN通过智能技术生成

作为刚入门逆向新手,奔着遇到问题解决问题的思路,通过以文章的形式加深印象,仅作笔记分享。

花指令是用来对抗静态反汇编的,通过插入无用的字节使ida无法正确反编译,但不影响函数执行。通常使用花指令的程序在ida中会出现call一个函数地址加1的情况,这种情况应该call 0x1209这个地址。

这时候我们需要双击找到这个函数,会看到以下报错。

 定位到push rbx,通过Edit->Patch program->Change byte查看push rbx对应的十六进制是“ff f3”

也可以将光标放在此行,按快捷键d,是将指令转成数据。 

 地址0x1208是我们不需要的,而0x1209才是函数的正确地址,因此选中db 0F3h,右键->Analyze selected area,是让ida识别成指令。

 此时我们需要让0x1209当成函数的起始位置,光标定位到该行,通过快捷键p生成函数,可以看到如下:

 因为0x1208地址是无用的指令,所以需要给它nop掉,通过Keypatch插件将该行修改为nop,发现显示为db 90h,这时候右键让ida再分析一下就变成了nop指令了。

 

 f5打开反编译窗口,如果伪代码没有变化,说明ida有缓存,再按f5刷新一下即可。

DreamAndSun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
REVERSE(IDA修改指令/栈平衡/z3)学习笔记
小龙在线
08-23 2326
中断指令表https://blog.csdn.net/trochiluses/article/details/20008631 IDA 修改数据格式 IDA去除指令 此处由指令。 去除脚本: #include <idc.idc> static main() { auto i,from,size; from=0x400000; //起始地址 size=0x2000; //扫描数据块大小 for ( i=0; i < size;i++ ) { if ((Byte...
抗去除指令(一)——指令基础
lixiangminghate的专栏
01-04 2891
转自 http://blog.csdn.net/yangbostar/article/details/6194133 入门知识,高手勿读 一、 概述 指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的
re学习笔记(38)BUUCTF-re-[SCTF2019]babyre IDA无法F5|代码修复|指令
逆向随笔
02-11 1981
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[SCTF2019]babyre 题目下载:点击下载 修复代码可以F5 这道题不能F5,修改了好久,才显示出伪代码。 修复完的伪代码显示如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax char ...
抗去除指令(二)——有创意的指令
lixiangminghate的专栏
01-04 1515
一、概述 “jmp/call/ret+垃圾数据”这样的指令已经是相当“老掉牙”了,OD的插件对付它们基本是“秒杀”,所以本文想说点“有点创意”的指令,至少能对付OD的插件。   二、创意的核心 [2.1]指令因何被发现 “jmp/call/ret+垃圾数据”的方法之所以容易被检测,原因是“意图太明显”,具体说任何一种检测手段,都是基于以下两点: ①检测跳转结构的固定形态特征,当然
android java指令_[原创]#30天写作挑战#Android记去指令还原算法
weixin_30895059的博客
02-26 587
0x00 前言小伙伴给我发来一道android题,涉及指令,记录一下去除指令和算法还原的过程。样本强网杯 flower.apk0x01 指令指令是企图隐藏掉不想被逆向工程的代码块(或其它功能)的一种方法,在真实代码中插入一些垃圾代码的同时还保证原有程序的正确执行,而程序无法很好地反编译, 难以理解程序内容,达到混淆视听的效果。主要目的加大静态分析难度1、不可执行的指令运行是不执行的汇编指...
吸鼻器源代码资料.zip
最新发布
12-18
在IT领域,源代码是程序员用编程语言编写的原始指令,它们构成了软件的基础。源代码的分享通常用于学习、协作或调试目的。 【描述】"吸鼻器源代码资料.zip" 进一步证实了这是一个包含源代码文件的压缩包,可能是...
3389后门自己造VC源代码
03-15
标题中的“3389后门自己造VC源代码”指的是使用Microsoft Visual C++(VC)编程环境,利用MFC(Microsoft Foundation Classes)库来创建一个针对Windows远程桌面服务(通常通过端口3389访问)的后门程序。...
MS08-067批量溢出C源代码
11-16
总之,MS08-067批量溢出C源代码涉及到的关键技术点包括缓冲区溢出原理、C语言的内存操作、堆栈布局分析、EIP控制以及shellcode的使用。通过理解和实践这些概念,我们可以更深入地了解网络攻击手段,并为系统的安全...
ARM反汇编器C++源代码 值得一看
07-11
8. **调试与优化**: 由于提供的源代码可能不完善,开发者需要具备调试技巧来找出和修复问题。此外,优化反汇编器的性能,使其能快速处理大型二进制文件,也是一个挑战。 9. **代码组织**: 一个良好的反汇编器项目...
反编译程序的源代码,Delphi版.rar
07-10
Delphi的反编译工具可以帮助开发者了解他人编写的Delphi程序的工作原理,或者在没有源代码的情况下修复或改进现有软件。不过,值得注意的是,未经版权所有者许可的反编译行为可能涉及版权法问题,因此在使用此类工具...
指令问题——[HDCTF2019]Maze
热门推荐
sid10t.
06-14 3万+
文章目录声明题目分析 声明 1)该文章部分内容整理自网上的资料,如不小心侵犯了大家的权益,还望海涵,并联系博主删除。 2)博主是萌新上路,文中如有不当之处,请各位大佬指出,共同进步,谢谢。   题目 题目链接:[HDCTF2019]Maze 分析 查壳, 有壳,直接工具去壳, 拖入ida, 可以看出这应该是核心代码,直接按F5,没有反应,分析一下代码, 这里jnz指令跳转到了下一行代码,相当于没跳转,可以推断出这段代码添加了指令,导致ida分析失败, 直接将这里的jnz指令nop掉, 如何
手把手教你逆向分析 Android 程序
茶向
07-07 1977
很多人写文章,喜欢把什么行业现状啊,研究现状啊什么的写了一大通,感觉好像在写毕业论文似的,我这不废话,先直接上几个图,感受一下。 第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧? 第二张图是微信运动步数作弊,6不6? ok,那我们从头说起…… 1.反编译 Android 的反编译,
逆向学习】指令的去除
WangLal的博客
04-22 3179
逆向指令
逆向分析之指令2
cavalier的学习之路
04-22 3113
一、概述 “jmp/call/ret+垃圾数据”这样的指令已经是相当“老掉牙”了,OD的插件对付它们基本是“秒杀”,所以本文想说点“有点创意”的指令,至少能对付OD的插件。   二、创意的核心 [2.1]指令因何被发现 “jmp/call/ret+垃圾数据”的方法之所以容易被检测,原因是“意图太明显”,具体说任何一种检测手段,都是基于以下两点: ①检测跳转结构的固定形态特征,当然
指令简单的总结
qq_54894802的博客
08-09 228
所谓指令就是指程序中完全冗余,不影响程序功能却会对逆向工程产生干扰的指令
190321 逆向-指令去除(脚本)
whklhhhh的博客
03-22 2万+
Pizza的脚本中是通过get_bytes和patch_bytes两个API来将所有机器码读出然后再Patch回去的 中间匹配pattern的过程是构造字符串然后find来控制 这样操作的优点是find的效率奇高,对于大量数据的处理非常的快 而我们之前使用的逐字符匹配pattern的优点是可控性比较强,例如通配符的存在 然而缺点就是速度很慢,对于数量级较大时格外明显,因此试图修复 刚开始以为速度...
逆向分析基础 --- 指令实现及清除
abelxu
06-15 1万+
一、基本概念 指令:目的是干扰ida和od等软件对程序的静态分析。使这些软件无法正常反汇编出原始代码。 常用的两类反汇编算法: 1.线性扫描算法:逐行反汇编(无法将数据和内容进行区分) 2.递归行进算法:按照代码可能的执行顺序进行反汇编程序。 简单的指令 0xe8是跳转指令,可以对线性扫描算法进行干扰,但是递归扫描算法可以正常分析。 两个跳转一个指向无效数据,一个指向正常数据来干扰递归扫描算法。 二、指令实现 这里的实验基础代码是参考安全客上一个师傅代码进行的 //源码 #include<s
CrackMe028:解决指令
可乐松子的博客
05-28 415
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.了解程序信息2.逆向分析程序1.OD分析2.IDA分析3.验证分析3.注意事项4.参考 用PEiD查看这3个连续程序(26、27、28),都是用VC6.0编写,没有壳 1.了解程序信息 程序需要输入正确的用户名和序列号才能注册成功 2.逆向分析程序 1.OD分析 OD中通过错误提示定位引
ast反混淆进阶--指令处理
jia666666的博客
09-14 1564
实现目的:字符指令与函数指令的处理 处理前: var _0xb28de8 = { "abcd": function (_0x22293f, _0x5a165e) { return _0x22293f == _0x5a165e; }, "dbca": function (_0xfbac1e, _0x23462f, _0x556555) { return _0xfbac1e(_0x23462f, _0x556555); }, "aaa": function (_0x57e
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值