汇编call指令详解_恶意代码分析之对抗反汇编技巧入门

最新推荐文章于 2021-04-08 19:55:07 发布
最新推荐文章于 2021-04-08 19:55:07 发布
阅读量424 收藏
点赞数
文章标签: 汇编call指令详解 汇编指令和机器码一一对应 汇编指令机器码对应列表

在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。

使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示:

9ebd51247724e9afd3a6997707d09b41.png

00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器码:

04d509eaaf981808afa984fad40977c3.png

相应的机器码:

E8  8B 45 0C 8B

E8  8B 45 0C 8B

这里要注意一下这个E8指令,它是一个CALL指令,我们再看它前面的指令

jz short near ptr loc_401010+1

意思是跳转到下一条指令,我们需要E8这条指令转化为数字,如下:

129039cfbd84184c7efb0378e5209aba.png

然后前面的jz指令跳转到了00401011的位置,我们重新把这条指令的机器码转化为代码,如下:

16ee8f4e85db66410313cfb99c8028ee.png

同样将下面的代码中的E8指令过滤掉,然后转化为代码如下:

892990520c8bfda6d6b342adff51e7af.png

使用花指令,对抗反汇编,我们先写一个简单的程序,如下:

f8f9fc50710045427cb9945c0d41e62c.png

编译之后用IDA打开程序,很容易就看出程序的代码,如下:

eb07f0a154e3c7dc1f0681ef4a2d06db.png

然后我们修改一下程序,加一些简单的跳转和垃圾代码,如下:

50aa17fb2447e02a3c6c7a35365cdf5e.png

编译完之后,拖到IDA里显示如下:

b0e47a04c096dcdbc9357c2049d0f0c2.png

会多出一些流程跳转,分支判断的显示,如果程序比较大,而且里面包含的这样的跳转比较多,就会给分析人员分析增加复杂度,以上两种方法只是简单的反对抗汇编,最直接有效的方式,当然是写个壳,然后把整人PE文件包裹起来,这样用IDA打开之后,就全是壳代码,无法解析,只能动态调试解壳之后,才能静态分析。

weixin_39617484
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MCS-51.rar_MCS-51_MCS-51指令详解_汇编指令_汇编指令
09-20
汇编指令集大家需要就下啊,谢谢啊,。呵呵有资料要共享啊
汇编call指令详解_想做外挂,先把汇编学好!反汇编跟踪函数调用过程!
weixin_39606638的博客
11-23 2024
今天,我们来通过反汇编看一下函数调用的过程(顺便学习下汇编),如下图,为一个函数调用的例子。主函数里面调用了test()函数。​在X86环境下,进入调试模式,反汇编代码。然后我们从主函数看起,前面一些汇编代码都是编译器在调试模式下自动生成的调试信息代码,我们主要看画红线的两句代码。哦,首先要看一下此时的栈空间状况,此时的栈空间由EBP和ESP两个寄存器来决定,EBP是栈底的内存地址,ESP是栈顶的...
linux反汇编定位死机日志
mary0712的博客
04-08 558
1、查看死机日志 例如: [64591.912774] <86>Call Trace: [64591.915861] <82> [<ffffffff815b9be5>] ? __schedule+0x2c5/0x790 [64591.921996] <82> [<ffffffffa07f0b50>] ? handle_active_stripes+0x300/0x300 [raid456] [64591.929966] <82> [
反汇编测试干货】多个函数CALL联合使用保护函数CALL的返回值
追逐光芒,追随内心
03-10 381
在日常的逆向中,偶尔会遇到联合调用多个函数CALL。第一个函数的返回值是第二函数的参数,也是第三个函数CALL参数。这个时候如何保护这个第一个函数CALL的返回值不被第二个函数CALL修改呢? 方法就是push 和 pop 下面的加粗的寄存器就是返回值,为了保护它,我们用了 push 和 pop 的方法,这样 第三个函数CALL 就可以 正常使用 第一个函数CALL的返回值了,这里科普下下面的这个函数CALL返回值是通过寄存器 eax传递的。 push 0x06139C call 74F672C4
【学习逆向工程,分析机器代码】(二)(C++篇)
dreamerate's blog
04-27 1356
【学习逆向工程,分析机器代码】(二)(C++篇) by dreamerate 1、序   大家好!再一次和大家见面了!我这次要告诉大家的是,一个
反汇编的call和retn
nailgo的专栏
04-14 2365
CALL指令   CALL指令可不是如唤指令,而是子程序调用指令。那么汇编语言中的子程序是什么呢?子程序能被其它程序调用,在实现某种功能后能自动返回到调用程序去的程序。其最后一条指令一定是返回指令,故能保证得新返回到调用它的程序中去。也可调用其它子程序,甚至可自身调用。   我们可以暂时把子程序理解为一个代码段,是一个模块化的代码面。这个代码段可以完成某一特定功能,当程序在执行过程中需要用到这
X86主要的几种寻址方式
weixin_43647094的博客
07-15 1952
X86主要的几种寻址方式寻址方式各个寻址1. 与数据有关的寻址方式2.与转移地址有关的寻址方式 寻址方式 严格来说有三种寻址方式 1、与数据有关的寻址方式 2、与转移指令或过程调用指令有关的寻址方式 3、与IO指令有关的寻址方式 各个寻址 1. 与数据有关的寻址方式 寻址方式 详解 立即数寻址 指令所需的操作数直接包含在指令代码中,就是常说的立即数注意,立即数有8/16位两种,在使...
菜鸟学反汇编10—call
yiyeqinghuasoon
12-25 295
#include&lt;iostream&gt; #include&lt;iostream&gt; using namespace std; using namespace std; void swap(int i,int j) void myswap(int &amp;i,int &amp;j) { { int a=i; int a=i; i=j; i=j; j=a;...
ARM常用指令集及汇编.rar_ARM 指令集_ARM 汇编_arm 汇编指令_汇编_汇编指令
09-22
ARM常用指令集及汇编,初学者很实用的.需要者快下啊
基于迪文T5L_OS汇编指令详解.pdf
12-12
串口屏,汇编指令详解
汇编语言实现插入恶意代码
10-28
汇编语言实现插入恶意代码 如涉及侵权内容,资源将被移除
STM8反编译.rar_bin s19_stm8s 反编译_stm8汇编_stm8的指令_单片机反汇编
07-15
反汇编STM8S系列单片机程序,只能反编译S19文本格式,BIN格式以后会添加,程序开始地址8000H,另对有些指令没有理解,可能有些错误,欢迎指正。
win98硬盘主引导代码反汇编分析.rar_BIOS_bios 反汇编_mbr_rom bios_硬盘引导
09-19
WIN98SE硬盘主引导记录代码反汇编分析硬盘引导记录MBR(Master Boot Record)是指硬盘之0面0道1扇区之内容,PC及其兼容机之ROM BIOS约定在上电及POST自检成功后,将其从硬盘读出,放置在内存0:7C00处,然后转去该...
16.IDA-列出函数中存在的全部call(函数调用窗口,查看函数内调用了哪些call)
墨痕诉清风的博客
02-21 1948
窗口的上半部分列出了所有调用当前函数(由打开窗口时光标所在位置决定)的位置。选择View▶Open Subviews▶Function Calls窗口。有时待分析的函数反汇编太长,需要确认此函数调用了哪些call。窗口的下半部分列出了当前函数做出的全部调用。如,查看fopen的反汇编调用。
16.IDA-列出函数中存在的全部call
积累点滴,保持自我
08-04 1193
有时待分析的函数反汇编太长,需要确认此函数调用了哪些call  选择View▶Open Subviews▶Function Calls窗口 窗口的上半部分列出了所有调用当前函数(由打开窗口时光标所在位置决定)的位置  窗口的下半部分列出了当前函数做出的全部调用 如,查看fopen的反汇编调用
汇编中call指令和其对应机器码
u013289971的博客
04-14 4325
call这个指令很神奇,他和别的指令不太一样 对比下,当我们执行 mov eax,1 的时候,他的对应机器码是 66 B8 01 00 00 00 这其中“66 B8”对应的是“mov eax,x” 后面的“01 00 00 00”就是“1”在32位中的Little Endian了 所以说,在对mov指令进行汇编时,里面的常数会被直接汇编机器码 然而call指令比较有意思 这个是一段很简单...
Linux Call Trace原理分析
lcw_202的专栏
02-24 1373
Linux Call Trace原理分析 分类: Linux 2011-01-03 21:01 1891人阅读 评论(0) 收藏 举报 本文介绍了在Linux环境下根据EABI标准进行call trace调试的一般性原理。 本文所说的call trace是指程序出问题时能把当前的函数调用栈打印出来。 本文只介绍了得到函数调用栈的一般性原理,没有涉及Linux的core dum
汇编学习笔记:对抗反汇编实验2019092801
Niatruc的博客
09-28 419
汇编学习笔记:对抗反汇编实验2019092801实验描述实验环境实验过程实验结论 实验描述 使用相连的jz和jnz指令跳转到紧接着jnz指令的call指令的第二个字节。call指令实际上无效。验证ida在反汇编时会识别出call指令。 实验环境 操作系统:windows 7(安装于virtualbox中的虚拟机) 代码编辑器:sublime text 3 编译器:masm32 调试、反汇编工具:...
python反汇编指令_IDApython 命令
最新发布
05-31
在IDA中,可以使用以下命令来执行反汇编操作: 1. `idaapi.get_func(ea)`:获取指定地址所在函数的地址范围。 2. `idaapi.decompile(func)`:对指定函数进行反编译操作。 3. `idautils.Functions()`:获取所有函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值