linux arm 加壳,[求助]一个变态的花指令的arm

最新推荐文章于 2023-09-05 09:03:41 发布
最新推荐文章于 2023-09-05 09:03:41 发布
阅读量239 收藏
点赞数
文章标签: linux arm 加壳

[求助]一个变态的花指令的arm

2006-2-3 20:21

5237

[求助]一个变态的花指令的arm

2006-2-3 20:21

5237

一个变态的花指令的arm

问题:这是arm的什么保护形式?iat如何得到?

找oep非常容易。

找到oep为00401EBC,如下:

0012EB74  01 00 00 00 A8 08 00 00  ...?..

0012EB7C  64 0F 00 00 01 00 00 80  d....?

0012EB84  00 00 00 00 00 00 00 00  ........

0012EB8C  BC 1E 40 00 02 00 00 00  ?@....

0012EB94  00 00 00 00 BC 1E 40 00  ....?@.

0012EB9C  BC 1E 40 00 CC 06 00 00  ?@.?..

0012EBA4  00 00 00 00 90 34 4E 80  ....?N?

0012EBAC  00 00 00 00 00 00 00 00  ........

0012EBB4  13 00 00 00 2C D6 CC 00  ...,痔.

0012EBBC  64 6D 16 F4 18 27 4E 80  dm?'N?

0012EBC4  00 00 00 00 BC 1E 40 00  ....?@.

0012EBCC  01 00 00 00 01 00 00 00  ......

0012EBD4  01 00 00 00 00 00 00 00  .......

但是,oep处代码是:

00401EBC    089C93 D56014EC or      [ebx+edx*4+EC1460D5], bl

00401EC3    6A 9F           push    -61

00401EC5    0302            add     eax, [edx]

00401EC7    95              xchg    eax, ebp

00401EC8    20FC            and     ah, bh

00401ECA    0295 50FC0295   add     dl, [ebp+9502FC50]

00401ED0    58              pop     eax

00401ED1    FC              cld

00401ED2    0295 60FC0295   add     dl, [ebp+9502FC60]

00401ED8    2D 04FDA334     sub     eax, 34A3FD04

00401EDD    1E              push    ds

00401EDE    FB              sti

00401EDF    DF              ???                                      ; 未知命令

00401EE0    C9              leave

00401EE1    E4 18           in      al, 18

找path处就有许多花指令了:

返回后找到这里:

00439EBD    83BD D8F5FFFF 0>cmp     dword ptr [ebp-A28], 0

00439EC4    0F8C 41020000   jl      0043A10B

00439ECA    8B8D D8F5FFFF   mov     ecx, [ebp-A28]

00439ED0    3B0D DC4A4600   cmp     ecx, [464ADC]

00439ED6    0F8D 2F020000   jge     0043A10B

00439EDC    8B95 48F6FFFF   mov     edx, [ebp-9B8]

00439EE2    81E2 FF000000   and     edx, 0FF

00439EE8    85D2            test    edx, edx

00439EEA    0F84 AD000000   je      00439F9D

00439EF0    6A 00           push    0

00439EF2    8BB5 D8F5FFFF   mov     esi, [ebp-A28]

00439EF8    C1E6 04         shl     esi, 4

00439EFB    8B85 D8F5FFFF   mov     eax, [ebp-A28]

00439F01    25 07000080     and     eax, 80000007

00439F06    79 05           jns     short 00439F0D

00439F08    48              dec     eax

00439F09    83C8 F8         or      eax, FFFFFFF8

00439F0C    40              inc     eax

00439F0D    33C9            xor     ecx, ecx

00439F0F    8A88 30424600   mov     cl, [eax+464230]

00439F15    8B95 D8F5FFFF   mov     edx, [ebp-A28]

00439F1B    81E2 07000080   and     edx, 80000007

00439F21    79 05           jns     short 00439F28

00439F23    4A              dec     edx

00439F24    83CA F8         or      edx, FFFFFFF8

00439F27    42              inc     edx

00439F28    33C0            xor     eax, eax

00439F2A    8A82 31424600   mov     al, [edx+464231]

00439F30    8B3C8D 58124600 mov     edi, [ecx*4+461258]

00439F37    333C85 58124600 xor     edi, [eax*4+461258]

00439F3E    8B8D D8F5FFFF   mov     ecx, [ebp-A28]

00439F44    81E1 07000080   and     ecx, 80000007

00439F4A    79 05           jns     short 00439F51

00439F4C    49              dec     ecx

00439F4D    83C9 F8         or      ecx, FFFFFFF8

00439F50    41              inc     ecx

00439F51    33D2            xor     edx, edx

00439F53    8A91 32424600   mov     dl, [ecx+464232]

00439F59    333C95 58124600 xor     edi, [edx*4+461258]

00439F60    8B85 D8F5FFFF   mov     eax, [ebp-A28]

00439F66    99              cdq

00439F67    B9 1C000000     mov     ecx, 1C

00439F6C    F7F9            idiv    ecx

00439F6E    8BCA            mov     ecx, edx

00439F70    D3EF            shr     edi, cl

00439F72    83E7 0F         and     edi, 0F

00439F75    03F7            add     esi, edi

00439F77    8B15 CC4A4600   mov     edx, [464ACC]

00439F7D    8D04B2          lea     eax, [edx+esi*4]

00439F80    50              push    eax

00439F81    8B8D D8F5FFFF   mov     ecx, [ebp-A28]

00439F87    51              push    ecx

00439F88    E8 621D0000     call    0043BCEF

00439F8D    83C4 0C         add     esp, 0C

00439F90    25 FF000000     and     eax, 0FF                        这里path后可以得到解码后的程序

00439F95    85C0            test    eax, eax

00439F97    0F84 6E010000   je      0043A10B

00439F9D    8B95 D4F5FFFF   mov     edx, [ebp-A2C]

00439FA3    3B15 D44A4600   cmp     edx, [464AD4]

00439FA9    72 1C           jb      short 00439FC7

需要在代码窗口按住鼠标左键向上选定,否则代码会变成:

00439EB8  ^\EB D2           jmp     short 00439E8C

00439EBA    B8 619D83BD     mov     eax, BD839D61

00439EBF    D8F5            fdiv    st, st(5)

00439EC1    FFFF            ???                                      ; 未知命令

00439EC3    000F            add     [edi], cl

00439EC5    8C41 02         mov     [ecx+2], es

00439EC8    0000            add     [eax], al

00439ECA    8B8D D8F5FFFF   mov     ecx, [ebp-A28]

00439ED0    3B0D DC4A4600   cmp     ecx, [464ADC]

00439ED6    0F8D 2F020000   jge     0043A10B

00439EDC    8B95 48F6FFFF   mov     edx, [ebp-9B8]

00439EE2    81E2 FF000000   and     edx, 0FF

00439EE8    85D2            test    edx, edx

00439EEA    0F84 AD000000   je      00439F9D

00439EF0    6A 00           push    0

00439EF2    8BB5 D8F5FFFF   mov     esi, [ebp-A28]

00439EF8    C1E6 04         shl     esi, 4

00439EFB    8B85 D8F5FFFF   mov     eax, [ebp-A28]

00439F01    25 07000080     and     eax, 80000007

00439F06    79 05           jns     short 00439F0D

00439F08    48              dec     eax

00439F09    83C8 F8         or      eax, FFFFFFF8

00439F0C    40              inc     eax

00439F0D    33C9            xor     ecx, ecx

00439F0F    8A88 30424600   mov     cl, [eax+464230]

00439F15    8B95 D8F5FFFF   mov     edx, [ebp-A28]

00439F1B    81E2 07000080   and     edx, 80000007

00439F21    79 05           jns     short 00439F28

00439F23    4A              dec     edx

00439F24    83CA F8         or      edx, FFFFFFF8

00439F27    42              inc     edx

00439F28    33C0            xor     eax, eax

00439F2A    8A82 31424600   mov     al, [edx+464231]

00439F30    8B3C8D 58124600 mov     edi, [ecx*4+461258]

00439F37    333C85 58124600 xor     edi, [eax*4+461258]

00439F3E    8B8D D8F5FFFF   mov     ecx, [ebp-A28]

00439F44    81E1 07000080   and     ecx, 80000007

00439F4A    79 05           jns     short 00439F51

00439F4C    49              dec     ecx

00439F4D    83C9 F8         or      ecx, FFFFFFF8

00439F50    41              inc     ecx

00439F51    33D2            xor     edx, edx

00439F53    8A91 32424600   mov     dl, [ecx+464232]

00439F59    333C95 58124600 xor     edi, [edx*4+461258]

00439F60    8B85 D8F5FFFF   mov     eax, [ebp-A28]

00439F66    99              cdq

00439F67    B9 1C000000     mov     ecx, 1C

00439F6C    F7F9            idiv    ecx

00439F6E    8BCA            mov     ecx, edx

00439F70    D3EF            shr     edi, cl

00439F72    83E7 0F         and     edi, 0F

00439F75    03F7            add     esi, edi

00439F77    8B15 CC4A4600   mov     edx, [464ACC]

00439F7D    8D04B2          lea     eax, [edx+esi*4]

00439F80    50              push    eax

00439F81    8B8D D8F5FFFF   mov     ecx, [ebp-A28]

00439F87    51              push    ecx

00439F88    E8 621D0000     call    0043BCEF

00439F8D    83C4 0C         add     esp, 0C

00439F90    25 FF000000     and     eax, 0FF

00439F95    85C0            test    eax, eax

00439F97    0F84 6E010000   je      0043A10B

魔法跳处:

00AB5331    8B0D 60D8AD00   mov     ecx, [ADD860]

00AB5337    89040E          mov     [esi+ecx], eax

00AB533A    A1 60D8AD00     mov     eax, [ADD860]

00AB533F    393C06          cmp     [esi+eax], edi

00AB5342    75 16           jnz     short 00AB535A

00AB5344    8D85 B4FEFFFF   lea     eax, [ebp-14C]

00AB534A    50              push    eax

00AB534B    FF15 B850AD00   call    [AD50B8]                         ; kernel32.LoadLibraryA

00AB5351    8B0D 60D8AD00   mov     ecx, [ADD860]

00AB5357    89040E          mov     [esi+ecx], eax

00AB535A    A1 60D8AD00     mov     eax, [ADD860]

00AB535F    393C06          cmp     [esi+eax], edi

00AB5362    0F84 AD000000   je      00AB5415                    这里改jmp后无法得到iat。只找到一个无效指针。

00AB5368    33C9            xor     ecx, ecx

00AB536A    8B03            mov     eax, [ebx]

00AB536C    3938            cmp     [eax], edi

00AB536E    74 06           je      short 00AB5376

00AB5370    41              inc     ecx

00AB5371    83C0 0C         add     eax, 0C

牛八日今口
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
指令必备的汇编指令总结
04-07 4488
1.寄存器介绍: (1).数据寄存器: 存放数据EAX、EBX、ECX、EDX(2).指针寄存器: 主要用途就是在存储器寻址时,提供偏移地址.ESP、EBP、EDI、ESIESP(堆栈指针寄存):是以“后进先出”方式工作的一个存储区,它必须存在于堆栈段中.EBP(基址指针寄存器):ESI(源变址寄存器):EDI(目的变址寄存器):2.数据传输指令:MOV--
指令的原理和常用指令收集
weixin_33728268的博客
05-03 804
指令的作用是对付静态分析,以下面一段程序说明一下指令的原理 代码 #include<iostream.h>#include<windows.h>voidmain(){_asm{jmpl2_EMIT0x1//这里就是指令_EMIT0x2//这里就是指令_EM...
快手逆向-指令实战分析
最新发布
二进制科学的博客
09-05 7024
快手安全分析
一些ARM汇编指令
HURUWO的技术博客
10-29 320
PUSH    {R4,LR} 将低寄存器R4入栈,LR也入栈 POP     {R4,PC} 将堆栈中的数据弹出到低寄存器 R4 及 PC 中 默认Thumb指令是16位的,指令PUSH.W中的后缀W指示编译器要把这条指令编译为32位的 STR{条件}  源寄存器,<存储器地址> STR指令用亍从源寄存器中将一个32位的字数据传送到存储器中。该指令在程序设计中比较常 STR
ARM Linux ELF加壳方案
07-12 1330
随着移动应用和IoT设备的普及,大量的硬件抛弃了传统的x86架构,选择使用能耗低、性价比高的ARM芯片,ARM指令级渐渐成为主流,但随之而来的,是愈发严峻的安全问题。 早期的加壳产品主要利用压缩加密技术对文件进行整体性保护,但随着逆向技术的提升,整体性的文件保护方案已经被攻克,于是加壳产品引入虚拟机概念,可以实现函数级的代码控制流保护,加密的颗粒度更加细致,破解难度呈几何级增加。 压缩加密 技术原理类似桌面应用的「压缩壳」,将 SO 文件中的代码段压缩或加密,在入口函数中解密再执行。 这种保护方式可
第20课 指令UPX加壳
07-04
UPX加壳、免杀、添加指令
ExeShellCode2.rar_加壳 源码_加壳 指令_加密壳_壳 源码_指令
07-15
用C语言写壳程序和加壳源码,完全支持Win7,加了一些无意义的指令、也对壳程序里的函数机器码进行了加密
软件加壳一机一码enigma protector 6.6.rar
09-26
1.如果您在使用 Enigma Protector 加壳保护工具。 2.支持制作一机一码。 3.暂时不支持NET程序。 4.enigma protector安全性高。
电脑软件加壳封装一机一码 注册卡密
08-27
电脑软件加壳封装一机一码 注册卡密
一机一码加壳软件SafengineShielden2.4.rar
09-26
1.Safengine Protector 提供强大的代码虚拟机保护您的程序免受逆向工程和非法修改。同时提供了运行时保护,并与您的程序链接在一起,使得您的程序无法离开保护代码正常运行。...3.生成一机一码。 4.暂时不支持NET的程序
特征码与指令的详细定义与修改添加的方法免杀教程
04-28
网上搜到的一些免杀教程,希望对大家有帮助
最新指令生成器(GUI)
08-31
指令生成器指令生成器指令生成器指令指令生成器成器
linux下最好用的upx加壳工具
12-23
upx是一个用的最多的加壳工具,有效的防止程序被人进行反编译破解 这个是linux 下32位
嵌入式系统那些事-文件视角下的arm elf解读
linus_ben的博客
05-03 1252
这篇文章笔者继续文件视角下的arm elf的解读,elf(Executable Linkable Format)是在linux下使用的一种可执行文件格式,我们的arm架构上通常都是部署的linux系统,因此elf文件也是跟arm架构强相关的一种文件格式。通过对其进行解读,可以帮助我们了解这样的一个文件是如何生成的,内部的结构是怎样的,如何在嵌入式的arm设备上加载运行起来,从而加深对整个系统运行机制的理解。
反调试指令
wangjiabin2007的专栏
07-08 1539
<br />push ********<br />mov eax,dword ptr fs:[0]<br />push eax<br />mov dword ptr fs:[0],esp<br />mov esi,0<br />mov eax,dword ptr ds:[esi]<br />其中*********的地方是你要跳转的地址<br />~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br />push ********<br />mov eax,dword ptr f
逆向学习笔记(二)(指令与MFC)
weixin_43742794的博客
08-02 411
指令 指令指的是没有作用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 { 现代反汇编器有两种思路: 线性扫描 从开头到结尾依次读取机器码并进行反汇编 递归下降(ida) 从程序入口向后反汇编,遇到条件跳转则分别从分支的地方继续反汇编,无条件跳转则尝试从目的指令继续反汇编 } 今天学习了会干扰反汇编、影响机器码解析但不影响正常机器码的类型 例如构建一定成功的跳转(jz+jnz)(xo...
ARMv8 汇编指令编写的一些小技巧
liujingyu_1205的博客
08-08 2184
以A64指令为例: 0.向通用寄存器(GPR)写入任意数据的方法 ldr x0, =0xabcdef 1.向通用寄存器写入函数地址的方法 方法1: ldr x0, =label //用ldr指令 blr x0 ... ... label: mov x1, #0 ... ... ret 方法2: adr x0, =label //用adr...
常用的汇编指令与技巧
amf83302的博客
08-07 236
1.数据传送指令:mov move r1,r2 /*r1=r2*/ move r1,#4096 /*r1=4096*/ 2.大范围的地址读取指令:ldr ldr r1,=0x123456789 /*r1=0x123456789*/ ldr r1,=label /*获取绝对地址,即label的地址*/ label:   …… 3.内存访问...
linux 程序加壳的原理
05-18
Linux中,程序加壳的原理基本上是将可执行文件(二进制文件)添加一个额外的壳层,使得该文件的内容变得不易被识别和破解。 程序加壳的基本原理是: 1. 加载壳程序:首先,系统会加载壳程序,该程序会解密或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值