c语言花指令怎么去除,[求助]去除驱动花指令--编写IDC脚本-问题

最新推荐文章于 2023-04-22 21:51:34 发布
最新推荐文章于 2023-04-22 21:51:34 发布
阅读量337 收藏
点赞数
文章标签: c语言花指令怎么去除

3

2008-10-15 13:44

根据图片信息用IDA模拟结果如下:

10460   E9 17 01 00 00 90 90 90 90 90 8D 85 38 FF FF FF

10470   50 6A 14 68 40 22 01 00 E8 23 FE FF FF 0F 82 07

10480   00 00 00 0F 83 01 00 00 00 E8 8D 85 38 FF FF FF

10490   50 8D 85 98 FD FF FF 50 FF 15 B4 20 01 00 8D 85

104A0   78 FD FF FF 50 8D 85 98 FD FF FF 50 FF 15 AC 20

seg000:00010460 E9 17 01 00 00                                jmp     loc_1057C

seg000:00010460                               ; ---------------------------------------------------------------------------

seg000:00010465 90                                            db  90h ;

seg000:00010466 90                                            db  90h ;

seg000:00010467 90                                            db  90h ;

seg000:00010468 90                                            db  90h ;

seg000:00010469 90                                            db  90h ;

seg000:0001046A                               ; ---------------------------------------------------------------------------

seg000:0001046A 8D 85 38 FF FF FF                             lea     eax, [ebp-0C8h]

seg000:00010470 50                                            push    eax

seg000:00010471 6A 14                                         push    14h

seg000:00010473 68 40 22 01 00                                push    offset unk_12240

seg000:00010478 E8 23 FE FF FF                                call    loc_102A0

seg000:0001047D 0F 82 07 00 00 00                             jb      near ptr loc_10489+1

seg000:00010483 0F 83 01 00 00 00                             jnb     near ptr loc_10489+1

seg000:00010489

seg000:00010489                               loc_10489:

seg000:00010489

seg000:00010489 E8 8D 85 38 FF                                call    near ptr 0FF398A1Bh

seg000:00010489                               ; ---------------------------------------------------------------------------

seg000:0001048E FF                                            db 0FFh

seg000:0001048F FF                                            db 0FFh

seg000:00010490                               ; ---------------------------------------------------------------------------

seg000:00010490 50                                            push    eax

seg000:00010491 8D 85 98 FD FF FF                             lea     eax, [ebp-268h]

seg000:00010497 50                                            push    eax

seg000:00010498 FF 15 B4 20 01 00                             call    ds:dword_120B4  ; RtlInitUnicodeString

seg000:0001049E 8D 85 78 FD FF FF                             lea     eax, [ebp-288h]

seg000:000104A4 50                                            push    eax

seg000:000104A5 8D 85 98 FD FF FF                             lea     eax, [ebp-268h]

seg000:000104AB 50                                            push    eax

seg000:000104AC FF 15 AC 20 xx xx                             call    dword ptr ds:xxxx20ACh

其关键代码为:

seg000:0001047D 0F 82 07 00 00 00                             jb      near ptr loc_10489+1

seg000:00010483 0F 83 01 00 00 00                             jnb     near ptr loc_10489+1

seg000:00010489

seg000:00010489                               loc_10489:

seg000:00010489

seg000:00010489 E8 8D 85 38 FF                                call    near ptr 0FF398A1Bh

seg000:00010489                               ; ---------------------------------------------------------------------------

seg000:0001048E FF FF                                         dw 0FFFFh

seg000:00010490                               ; ---------------------------------------------------------------------------

seg000:00010490 50                                            push    eax

将00010489处的call指令取消(U命令),从其下一个字节0001048A开始编码(C命令)得到以下结果:

seg000:0001047D 0F 82 07 00 00 00                             jb      loc_1048A

seg000:00010483 0F 83 01 00 00 00                             jnb     loc_1048A

seg000:00010483                               ; ---------------------------------------------------------------------------

seg000:00010489 E8                                            db 0E8h ; ?

seg000:0001048A                               ; ---------------------------------------------------------------------------

seg000:0001048A

seg000:0001048A                               loc_1048A:

seg000:0001048A

seg000:0001048A 8D 85 38 FF FF FF                             lea     eax, [ebp-0C8h]

seg000:00010490 50                                            push    eax

可见call指令是假的,即E8为费字节,也就是所谓的“花指令”。

futa子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C语言案例-水仙数.zip
10-26
C语言案例-水仙
C++写壳之高级篇
qq_31507523的博客
05-10 1036
C++写壳之高级篇 之前在写了写壳基础篇,现在就来完成写壳高级篇。有了写壳基础后,才能在其基础上逐步实现高级功能,加壳的目的主要是防止别人破解,而想要别人很难破解,我认为要在指令、混淆和指令虚拟化上大量的时间及脑力才能做到,这个比较费力不讨好。我在此就说说一些能快速入门的反调试技术。 主要工具: VS2017、x64dbg、LordPE、OD 实验平台:win10 64位 实现功能:反调试、Ha...
【逆向学习】指令去除
WangLal的博客
04-22 2676
逆向指令
逆向工程入门
:-)
10-24 1万+
逆向工程 REVERES 1.逆向工程简介及发展方向 软件逆向工程是一种探究应用程序内部组成结构及工作原理的技 术. 运用逆向分析技术, 窥探程序内部结构, 掌握其工作原理. – 《逆向工程核心原理》 逆向工程,顾名思义,将已经完成的程序经行反编译以找到其内部隐藏细节的过程,我们将其称之为逆向工程 第一步,我们将通过各种信息收集工具,对要进行逆向分析的程序进行信息处理 第二步,我们将存在保护的目标程序经行去加密,并且备份其源文件 第三步,将目标程序拖入静态分析或动态调试软件中经行处理(代码审计或debug)
逆向分析基础 --- 指令实现及清除
abelxu
06-15 1万+
一、基本概念 指令:目的是干扰ida和od等软件对程序的静态分析。使这些软件无法正常反汇编出原始代码。 常用的两类反汇编算法: 1.线性扫描算法:逐行反汇编(无法将数据和内容进行区分) 2.递归行进算法:按照代码可能的执行顺序进行反汇编程序。 简单的指令 0xe8是跳转指令,可以对线性扫描算法进行干扰,但是递归扫描算法可以正常分析。 两个跳转一个指向无效数据,一个指向正常数据来干扰递归扫描算法。 二、指令实现 这里的实验基础代码是参考安全客上一个师傅代码进行的 //源码 #include<s
逆向分析软件去除易语言指令完成注册
1匹黑马
03-02 2771
文章目录用到的软件查壳去除指令寻找关键跳或者关键CALL完成注册 用到的软件 OD PEID 会员管理软件 查壳 直接拖进PEID看一下,这里没壳,直接干了 去除指令 查找关键字 首先我们运行程序会看见有一个未注册 我们直接去查找这几个字,这里提示没有找到 去除指令 接着我们尝试去一下指令看看效果,去除指令的工具在 插件——》Junk code 再次查找关键...
14-样灯(51单片机C语言实例Proteus仿真和代码)
06-14
14-样灯(51单片机C语言实例Proteus仿真和代码)14-样灯(51单片机C语言实例Proteus仿真和代码)14-样灯(51单片机C语言实例Proteus仿真和代码)14-样灯(51单片机C语言实例Proteus仿真和代码)14-样灯(51单片机...
2022CTF培训(四)指令&字符串混淆入门
sky123博客
11-28 2129
逆向工程中一个常用的技巧就是通过字符串来寻找核心代码,例如通过错误提示来找到判断的相关代码、通过提示语句找到相近的功能代码、通过日志输出找到相关的功能代码等等。可见字符串对于逆向人员是一个很重要的切入点。因此,保护方使用字符串混淆技术,对静态文件中的字符串进行加密,使得直接在文件中搜索字符串无法获得信息。当程序运行时再对字符串进行解密,恢复其的可读性。静态解密指的是对解密函数进行逆向,从而直接根据解密算法和加密内容进行恢复。好处有以下几点无需执行,避免环境配置、反调试等问题
190321 逆向-指令去除脚本
热门推荐
whklhhhh的博客
03-22 2万+
Pizza的脚本中是通过get_bytes和patch_bytes两个API来将所有机器码读出然后再Patch回去的 中间匹配pattern的过程是构造字符串然后find来控制 这样操作的优点是find的效率奇高,对于大量数据的处理非常的快 而我们之前使用的逐字符匹配pattern的优点是可控性比较强,例如通配符的存在 然而缺点就是速度很慢,对于数量级较大时格外明显,因此试图修复 刚开始以为速度...
C语言添加指令,抵御反汇编
闲云野鹤专栏
01-17 1万+
C语言添加指令,抵御反汇编   (1)未加程序 能正确反汇编 原程序: void Function() {   Input++;   Output++;   Input+=Output;   printf("函数结果:%d,%d",Input,Output); } 反汇编代码: IDA: .text:00401096            
指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出指令 将他清除
c语言指令怎么去除,[原创]去除指令的代码
weixin_30152861的博客
05-20 365
52008-10-3 05:46// A Test Simple#define WIN32_LEAN_AND_MEAN#include "windows.h"//找出指令的位置并去掉指令void FindFlowerCodeAndRemove2(LPVOID src, LPVOID flw, int nSrcLen,int nflwLen){__asm{xor eax,eaxpush esip...
c语言免杀指令大全,免杀指令
weixin_36219745的博客
05-18 835
今天送上经典指令注:编写指令,可参考以下成双指令,可任意自由组合.达到免杀效果.push ebppop ebppush eaxpop eaxpush esppop esppush 0push 0push 10 -------其中数字可以任意,注意与下面对应push -10nop -----------可任意在中间添加与它等效的:mov EDI,EDIadd esp,1 -------其中数字可...
指令c语言,最新一批指令
weixin_28973627的博客
05-20 501
【深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码:============================伪装代码部分:============================mov eax,0040E000push 004153F3push dword ptr fs:[0]mov dword ptr fs:[0],esppushfwpushadpush eaxxor e...
c语言指令,指令的应用
weixin_31036949的博客
05-21 1694
原标题:指令的应用 对免杀的影响是非常大的,有效地利用指令可以使免杀工作事半功倍,甚至单凭指令就可以达到免杀的效果。一、指令在免杀领域的应用1、指令的应用技巧在使用之前,首先我们应该明白什么时候比较适合使用,同时还要清楚什么时候不适合。总的来说,应该在无壳的木马中应用,如果木马已经被加壳,那么我们必须要先脱壳然后再添加。不管是加壳还是加都可以看作是一种加密行为,因此一般都是先加然后再加壳...
指令如何用c语言编写,逆向学习笔记之指令
weixin_39880301的博客
05-23 1017
概念指令是企图隐藏掉不想被逆向工程的代码块(或其它功能)的一种方法,在真实代码中插入一些垃圾代码的同时还保证原有程序的正确执行,而程序无法很好地反编译, 难以理解程序内容,达到混淆视听的效果。简单的说就是在代码中混入一些垃圾数据阻碍你的静态分析。指令分类指令大致可以分为可执行指令和不可执行指令两类:可执行指令可执行指令指的是这部分指令代码在程序的正常执行过程中会被执行但执行这些代码...
【reverse】通俗易懂的gcc内联汇编入门+示例:实现指令
hans774882968的博客
10-02 1958
基于Visual Studio的内联汇编教程已然不少,且质量较好。但基于gcc/g++的内联汇编教程少得可怜,且即使是英文文档也……真是一把辛酸泪!但是看到本文的你们,就不必感受那些辛酸了,只需在5分钟后感叹一句:原来这么简单!因为我也是萌新,可能本文有诸多谬误,还请指出。依赖 Windows10:mingw64 Ubuntu20.04:g++8.4.0
手动去除指令
qq_43335618的博客
07-14 2671
指令的作用 指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误,使ida和ollydbg等搜索不到字符串。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。 缺点:不能防止动态调试 以以下代码为例: #include <iostream> int main() { _asm { xor eax,eax t
去除指令(一)(二)(三)(四)
zhangmiaoping23的专栏
08-06 4801
标 题: 【原创】抗去除指令(一)(二)(三)(四) 作 者: yangbostar 时 间: 2011-02-18,19:24:16 链 接: http://bbs.pediy.com/showthread.php?t=129526 入门知识,高手勿读 一、概述      指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错
c语言如何发送指令给atgm336h-5n
最新发布
05-30
要通过C语言发送指令给ATGM336H-5N,需要先连接ATGM336H-5N和开发板(例如:Arduino、Raspberry Pi等),然后通过串口通信向ATGM336H-5N发送指令。 以下是一个简单的C语言程序示例,演示如何使用串口通信向ATGM336H...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值