反汇编代码里面的地址_恶意代码分析之对抗反汇编技巧入门

最新推荐文章于 2024-12-09 12:34:13 发布
最新推荐文章于 2024-12-09 12:34:13 发布
阅读量448 收藏
点赞数
文章标签: 反汇编代码里面的地址
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31143391/article/details/113330676
版权
本文介绍了两种简单的对抗反汇编的策略:使用无效指令和花指令。无效指令通过在代码中插入错误地址的调用,使IDA等反汇编工具解析出错。花指令则通过添加跳转和垃圾代码增加静态分析的复杂度,使得程序结构难以理解。对于更强大的对抗,可以使用加壳技术,完全包裹PE文件,防止静态分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。

使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示:

c24551328d0056d015d7691d3133610f.png

00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器码:

880d31dbff5dcf441ba5a71249d3fe7b.png

相应的机器码:

E8  8B 45 0C 8B

E8  8B 45 0C 8B

这里要注意一下这个E8指令,它是一个CALL指令,我们再看它前面的指令

jz short near ptr loc_401010+1

意思是跳转到下一条指令,我们需要E8这条指令转化为数字,如下:

65d3be3c7195f05256098fdb8707ac3a.png

然后前面的jz指令跳转到了00401011的位置,我们重新把这条指令的机器码转化为代码,如下:

5c12524f11fe9a137c9fcbc9ce274f2b.png

同样将下面的代码中的E8指令过滤掉,然后转化为代码如下:

79889831bc9f98f0fcc40c6116592c29.png

使用花指令,对抗反汇编,我们先写一个简单的程序,如下:

ec670268b5a783960c70813c8b3cbf80.png

编译之后用IDA打开程序,很容易就看出程序的代码,如下:

6a78a4d7293974ab43d79225f7ad83a0.png

然后我们修改一下程序,加一些简单的跳转和垃圾代码,如下:

4f80fd689e82da5dc4c4f4b39a035e55.png

编译完之后,拖到IDA里显示如下:

98fc413fb3f856b7c5e66dab2f29447e.png

会多出一些流程跳转,分支判断的显示,如果程序比较大,而且里面包含的这样的跳转比较多,就会给分析人员分析增加复杂度,以上两种方法只是简单的反对抗汇编,最直接有效的方式,当然是写个壳,然后把整人PE文件包裹起来,这样用IDA打开之后,就全是壳代码,无法解析,只能动态调试解壳之后,才能静态分析。

[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
汇编语言实现插入恶意代码
10-28
汇编语言实现插入恶意代码 如涉及侵权内容,资源将被移除
反汇编代码里的地址 链接地址 运行地址 存储地址 位置无关码 位置有关码
mapleay的博客
07-03 2035
反汇编代码地址就是链接地址; 链接地址不一定等于运行地址(通常链接地址和运行地址的值是一样的); 运行地址是在统一编址的存储区间中,正在运行的代码所处的地址; 存储地址是也就是代码被下载到物理介质上的地址。 位置无关码的代码中没有绝对地址的不连续跳转,反之就是位置相关码; 代码重定位的判断本质是依赖与PC寄存器实现。 具体是PC值的相对位
c语言变长数组反汇编,从"新"开始学习恶意代码分析——静态分析
weixin_36400198的博客
05-21 449
0x00 前言熟练的阅读汇编代码是恶意软件分析时的基本功。在本节中,我将以一个比较简单的Downloader(下载者)程序为例,以纯汇编的角度来对该恶意样本进行分析。本节中所使用到的样本已经上传到了app.any.run这个地址是该样本在app.any.run上面的沙箱页面,访问该页面,然后单击Get sample即可下载下载的样本解压密码为:infected0x01 所需工具由于是纯静态分析,这...
汇编地址的值与它在内存地址中的高低位排列是反过来的
hutao1101175783的专栏
07-27 467
如0000ffff 在内存中高低位反过来,是ffff0000特别注意一点,他是以1字节(8)位为单位反过来。例如:例如一个值为0x12345678,那么它在内存中的布局是0x78563412,切记!!!!!...
反汇编代码里面的地址_浅析同一段C++代码在Win X64, X86,MAC,Android ARM64平台编译器优化之美...
weixin_36068015的博客
01-04 507
背景:定位一些Crash崩溃时,由于缺少更多信息,可能需要从反汇编的静态代码段推测对应的C++代码,并结合寄存器值分析出具体原因。对于Release发布版,由于编译器的强行函数内联和生成指令优化,会出现反汇编代码和C++源码区别较大,加大我们从汇编代码反推C++难度,一但我们分析清楚优化点,可以很欣赏编译器优化之美。 本文是从ARM64平台的一次crash反汇编分析经历出发,发现编译器能...
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
恶意代码分析
最新发布
aming小老弟
12-09 1597
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
[系统安全] 三十二.恶意代码检测(2)常用技术详解及总结
杨秀璋的专栏
07-16 9738
前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识,在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。希望这篇文章对您有所帮助,如果文章中存在错误、理解不到位或侵权的地方,还请告知作者与海涵。且看且珍惜,加油~
从两句汇编认识运行时地址与链接地址
11-17 272
首先看两行汇编代码: 1: adr r0, _start 2: ldr r1, =_start   同样是加载一个标号的地址值,adr和ldr有什么区别呢?注意这里的ldr不是命令ldr,而是伪指令ldr,若想区分它们请参看我的一篇博文《adr adrl ldr mov总结整理》。 要区分它们,就需要引入4个概念: 1、运行时地址起始位置:它芯...
恶意代码分析实战第15章 - 对抗反汇编
ACdream
06-24 364
对抗反汇编,在很大程度上就是运用花指令技术,使得IDA的强大F5功能失效,在只能静态分析时让代码显得乱七八糟,没有头绪,将知识点总结如下用IDA python对指令进行NOP替换import idaapi idaapi.CompileLine('static n_key() {RunPythonStatement("nopIt()");}') AddHotkey("Alt-N","n-key")...
恶意代码分析实战 12 对抗反汇编
农夫果园好好喝的博客
01-25 803
首先,使用IDA载入该文件。我们可以看到这个程序在地址0040100E处存在一个对抗反汇编技术的痕迹。eax总是被置为零,jz跳转总是被执行。所以我们认为这一行是假冒的call指令,,将004010010置为数据。下面的几行再转换为代码。!这个程序使用一个永远为假的条件分支:xor eax,eax,随后是一个jz指令。这个程序欺骗反汇编反汇编机器码xE8,它是ca11(占5个字节)指令的第一个字节,然后紧跟着的是一个z指令。永假的条件分支在这个程序中被使用了5次。
汇编学习笔记:对抗反汇编实验2019092801
Niatruc的博客
09-28 526
汇编学习笔记:对抗反汇编实验2019092801实验描述实验环境实验过程实验结论 实验描述 使用相连的jz和jnz指令跳转到紧接着jnz指令的call指令的第二个字节。call指令实际上无效。验证ida反汇编时会识别出call指令。 实验环境 操作系统:windows 7(安装于virtualbox中的虚拟机) 代码编辑器:sublime text 3 编译器:masm32 调试、反汇编工具:...
代码混淆/程序保护(对抗反汇编)原理与实践
pianogirl123的博客
12-25 1万+
所谓对抗反汇编技术,就是在程序中使用特殊构造的代码或数据,让反汇编工具产生不正确的指令。恶意代码使用该技术,可以一定程度上阻碍相似性检测算法和启发式反病毒检测。一、反汇编算法的局限性反汇编软件在拿到一堆机器码时,采用什么样的思维和算法来“断词断句”,又基于哪些假设,都会决定最终的解析结果。运用不同的反汇编器,同样的字节码会被“翻译”出完全不同的指令序列。而对抗反汇编技术就是利用了反汇编器算法的天生漏
恶意软件逆向分析系列(一):在汇编语言中识别重要的代码结构
D_R_L_T的博客
04-04 1135
原文链接:http://resources.infosecinstitute.com/important-code-constructs-in-assembly-language-basics/ 另一个比较重要的概念就是这些恶意程序是通过可理解的汇编代码执行的,而这些不同的代码在二进制层面的架构如何呢?在这篇文章中,我们将在汇编层面认识代码结构。 注意:这篇文章的受众人群默认是对汇编语
Lab15 恶意样本分析-常用的反汇编总结
LoopherBear的博客
05-22 787
Lab15-01 常用的反汇编总结 在《恶意代码分析实战》的第十五章总结了一些常见的反汇编案例,包括线性返回编译器和非线性返回编译器的对抗。这里总结了其中提到的几个原理,每个都配合着实验了说明,这篇笔记只是我在做分析时的一些总结,方便后续回来看。 相同目标跳转指令 问题 在x86汇编指令中,无条件跳转指令jmp是跳转指令之一。在一些恶意样本中会针对的插入一些指令来完成这个无条件跳转,如下 从上面的指令看处,jz jnz都是跳转到了call的下一条指令,但是这里有一个问题,如果跳转指令要跳转到一个函数,不可
恶意代码分析实战 4 识别汇编中的C代码结构
农夫果园好好喝的博客
01-24 847
使用Strings进行查看,需要注意最后的这两个字符串,一个是“没有网”,另一个是“联网成功”。IDA 中查看图结构。明显是if-else结构。明显sub_401000函数决定了分界点,点进去看一看:这个函数最后返回的值就是该函数的值,似乎这个if-else 中的内容并没有影响他的返回值,在这这两个流程中都有字符串,可以大致猜测出应该是打印字符串的功能,而sub_40105F函数恰好有两个参数,而字符串恰好是第一个参数,该函数应该就是printf。该程序检查是否有一个可用的Internet连接。
恶意代码(一)
花开 流年
08-24 893
0-day漏洞 参考链接:https://blog.csdn.net/weixin_42859280/article/details/104157806 APT攻击 高级持续性威胁(Advanced Persistent Threat,APT)。 参考链接:https://www.zhihu.com/question/28881041 勒索软件 参考链接:https://baike.baidu.com/item/%E5%8B%92%E7%B4%A2%E8%BD%AF%E4%BB%B6/5243210?fr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值