反汇编代码里面的地址_恶意代码分析之对抗反汇编技巧入门

最新推荐文章于 2022-09-06 20:19:51 发布
最新推荐文章于 2022-09-06 20:19:51 发布
阅读量398 收藏
点赞数
文章标签: 反汇编代码里面的地址
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31143391/article/details/113330676
版权

在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。

使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示:

c24551328d0056d015d7691d3133610f.png

00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器码:

880d31dbff5dcf441ba5a71249d3fe7b.png

相应的机器码:

E8  8B 45 0C 8B

E8  8B 45 0C 8B

这里要注意一下这个E8指令,它是一个CALL指令,我们再看它前面的指令

jz short near ptr loc_401010+1

意思是跳转到下一条指令,我们需要E8这条指令转化为数字,如下:

最低0.47元/天 解锁文章
weixin_31143391
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反汇编代码里面地址_浅析同一段C++代码在Win X64, X86,MAC,Android ARM64平台编译器优化之美...
weixin_36068015的博客
01-04 426
背景:定位一些Crash崩溃时,由于缺少更多信息,可能需要从反汇编的静态代码段推测对应的C++代码,并结合寄存器值分析出具体原因。对于Release发布版,由于编译器的强行函数内联和生成指令优化,会出现反汇编代码和C++源码区别较大,加大我们从汇编代码反推C++难度,一但我们分析清楚优化点,可以很欣赏编译器优化之美。 本文是从ARM64平台的一次crash反汇编分析经历出发,发现编译器能...
Lab15 恶意样本分析-常用的反汇编总结
LoopherBear的博客
05-22 670
Lab15-01 常用的反汇编总结 在《恶意代码分析实战》的第十五章总结了一些常见的反汇编案例,包括线性返回编译器和非线性返回编译器的对抗。这里总结了其中提到的几个原理,每个都配合着实验了说明,这篇笔记只是我在做分析时的一些总结,方便后续回来看。 相同目标跳转指令 问题 在x86汇编指令中,无条件跳转指令jmp是跳转指令之一。在一些恶意样本中会针对的插入一些指令来完成这个无条件跳转,如下 从上面的指令看处,jz jnz都是跳转到了call的下一条指令,但是这里有一个问题,如果跳转指令要跳转到一个函数,不可
反汇编代码里的地址 链接地址 运行地址 存储地址 位置无关码 位置有关码
mapleay的博客
07-03 1849
反汇编代码地址就是链接地址; 链接地址不一定等于运行地址(通常链接地址和运行地址的值是一样的); 运行地址是在统一编址的存储区间中,正在运行的代码所处的地址; 存储地址是也就是代码被下载到物理介质上的地址。 位置无关码的代码中没有绝对地址的不连续跳转,反之就是位置相关码; 代码重定位的判断本质是依赖与PC寄存器实现。 具体是PC值的相对位
从两句汇编认识运行时地址与链接地址
11-17 216
首先看两行汇编代码: 1: adr r0, _start 2: ldr r1, =_start   同样是加载一个标号的地址值,adr和ldr有什么区别呢?注意这里的ldr不是命令ldr,而是伪指令ldr,若想区分它们请参看我的一篇博文《adr adrl ldr mov总结整理》。 要区分它们,就需要引入4个概念: 1、运行时地址起始位置:它芯...
linux内核学习1:内存地址(1)
weixin_40535588的博客
07-28 1410
1. 程序反汇编 机器语言指令中出现的内存地址,都是逻辑地址,需要转换成线性地址,再经过MMU(CPU中的内存管理单元)转换成物理地址才能够被访问到。 我们写个最简单的hello world程序,用gccs编译,再反编译后会看到以下指令: mov 0x80495b0, %eax 这里的内存地址0x80495b0 就是一个逻辑地址,必须加上隐含的DS 数据段的基地址,才能构成线性地址。也就是说 0x80495b0 是当前任务的DS数据段内的偏移 2. LINUX地址分类 当使用80x86微处理器时,必须
关于程序基址改变问题
huobengle
08-13 787
windows vista开始有动态基地址的功能,只要pe头Dll Characteristics有0x40每次加载时基地址都不一样 自己的程序: 要想基址固定,在链接器中去掉/DYNAMICBASE加上/FIXED #pragma comment(linker,"/BASE:0x500000"),然后属性--链接器--高级--随机基址 禁用 别人的程序: 去掉IMAGE_OPTIO...
代码编辑框_反汇编
08-21
代码编辑框_反汇编系统结构:定义折叠标志,初使化配置,清除风格组数据,编码转换G_U,编码转换U_G,定义折叠标志,初使化配置,清除风格组数据,编码转换G_U,编码转换U_G,测试,显示文本,====
在 Visual Studio 中查看反汇编代码
08-18
"Visual Studio 中查看反汇编代码" 在 Visual Studio 中查看反汇编代码是软件开发者和调试人员需要掌握的一项重要技能。本文将详细介绍在 Visual Studio 中查看反汇编代码的相关知识,并提供实用的操作步骤和tips。...
win98硬盘主引导代码反汇编分析.rar_BIOS_bios 反汇编_mbr_rom bios_硬盘引导
09-19
WIN98SE硬盘主引导记录代码反汇编分析硬盘引导记录MBR(Master Boot Record)是指硬盘之0面0道1扇区之内容,PC及其兼容机之ROM BIOS约定在上电及POST自检成功后,将其从硬盘读出,放置在内存0:7C00处,然后转去该...
8051asm_c51反编译工具_反汇编_
09-29
用于单片机的hex反汇编成asm文件,可以很好的实现反编译功能
不可不知的反汇编相关知识
Pich的博客
08-16 2986
编程语言相关我们都知道编程语言有好几代,那他们都是什么第一代语言最低级的语言,一般有0和1组成,人很难讲指令和数据区分开也称机器语言,字节码,二进制文件第二代语言汇编语言,他脱离了机器语言的0和1,使用短小且容易记忆的助记符对应相应的操作码。汇编器是将汇编转为机器码的工具第三代语言引入了关键字和结构来描述事物,使得他使用起来更加接近自然语言。他们通常不依赖任何平台,如:C,Java什么是反汇编传统软
恶意代码防范技术原理-恶意代码概述
我的个人博客
09-06 5468
恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统包括计算机病毒( Computer Virus)、 蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹( Logic Bombs)、 细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX控件、间谍软件(Spyware)等。
c语言变长数组反汇编,从"新"开始学习恶意代码分析——静态分析
weixin_36400198的博客
05-21 320
0x00 前言熟练的阅读汇编代码是恶意软件分析时的基本功。在本节中,我将以一个比较简单的Downloader(下载者)程序为例,以纯汇编的角度来对该恶意样本进行分析。本节中所使用到的样本已经上传到了app.any.run这个地址是该样本在app.any.run上面的沙箱页面,访问该页面,然后单击Get sample即可下载下载的样本解压密码为:infected0x01 所需工具由于是纯静态分析,这...
汇编学习笔记:对抗反汇编实验2019092801
Niatruc的博客
09-28 437
汇编学习笔记:对抗反汇编实验2019092801实验描述实验环境实验过程实验结论 实验描述 使用相连的jz和jnz指令跳转到紧接着jnz指令的call指令的第二个字节。call指令实际上无效。验证ida在反汇编时会识别出call指令。 实验环境 操作系统:windows 7(安装于virtualbox中的虚拟机) 代码编辑器:sublime text 3 编译器:masm32 调试、反汇编工具:...
linux反汇编如何得到各个函数的地址,Linux下反汇编指定的函数
weixin_35600177的博客
05-08 1518
在debug二进制程序的时候,偶尔会用到反汇编,有时候也想反汇编指定的函数,那么以下有两种方法可以试试:用objdump的-d参数或者gdb的disassemble命令:一、用objdump的-d参数,但不能指定函数名,objdump还有另外两个参数--start-address和--stop-address,我们只要指定反汇编的起始地址和结束地址那应该就可以了,那怎么得到函数的起止地址呢,这就需...
c++类成员函数指针
寻梦&之璐
01-19 7563
提出疑问 首先问大家一句,什么是函数指针? 肯定有的人会这样回答,函数指针?不就是指向函数地址的一个指针吗?或者就是一个存放着一个函数首地址的变量? 当然,那些有点底层基础的肯定会这样说,函数就是一堆连续的机器码,而函数指针,就是存放了这堆连续机器码首地址的变量。 那么大家是不是回答的时候,考虑的地方是不是仅仅局限于 一般的函数????那么成员函数呢??? 为什么得强调成员函数呢?因为成员函数包括了虚函数和非虚函数(这里涉及虚表问题,可以先简单看看列出的虚函数系列,否则接下来问题会有点难以接受。) 虚函数
汇编代码可以反汇编成c
最新发布
11-12
汇编代码可以通过反汇编的方式转换成C语言。反汇编是将机器码转换回汇编语言的过程,通过这个过程我们可以得到源代码的近似形式,便于理解代码的功能和逻辑。虽然反汇编出来的代码不能完全还原成原始的C代码,但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值