MOV混淆

最新推荐文章于 2024-08-22 08:38:21 发布
最新推荐文章于 2024-08-22 08:38:21 发布
阅读量531 收藏 2
点赞数 10
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73270563/article/details/132136131
版权

这次来了解一下movfuscator混淆#### 在mov指令的图灵完备性被证明之后,就产生了一种使用mov指令代替其他各种指令的混淆机制,运算,跳转,函数调用都可以全部使用mov指令实现

#mov混淆器的下载
git clone https://github.com/xoreaxeaxeax/movfuscator
cd movfuscator
./build.sh
sudo ./install.sh
!!!这里少了一个指令
apt-get install libc6-dev-i386
否则会报错
#这里对下程序进行mov混淆
#include <stdio.h>
#include <string.h>
int main(int argc,char*argv[])
{
        char s[10] = {0};
        int i=0;
        scanf("%9s",s);
        for(i=0;i<strlen(s);i++)
        {
                s[i] = (s[i] + 1);
        }
        printf("%s\n",s);
        return 0;
}
#gcc test.c -o test1
#movcc test.c -o test2
#下图是混淆前和混淆后的对比

 

 

有混淆就有解混淆

首先需要三个依赖库
1.libcapstone
sudo git clone https://github.com/aquynh/capstone.git
cd capstone/
make
sudo make install
​
2.libz3
sudo git clone https://github.com/Z3Prover/z3.git
cd z3
python scripts/mk_make.py
cd build
make
sudo make install
​
3.libkeystone
sudo git clone https://github.com/keystone-engine/keystone.git
cd keystone/
sudo mkdir build
cd build/
sudo ../make-share.sh 
sudo make install
sudo ldconfig
​
最后
git clone https://github.com/kirschju/demovfuscator.git
make
当然你make之后会报一个致命错误,使用下面一个指令就可以了
sudo apt-get install libssl-dev
​
使用指令在demovfuscator里面的
./demov [input] -o [output]
​
不过作用嘛,微乎其微

1.AlexCTF 2017的re

首先脱壳,使用upx指令

拖入ida发现程序经过mov混淆,全局搜索相关字符

跟进去上下翻动
发现R2很可疑,程序一直给R2传入字符也把’}‘给了它,搜索mov R2
直接在IDA中搜索字节序列:字符串C7 05 68 20 06 (“mov R2” 对应字节码)
alt+b

找到flag

2.SusCTF 2018 MoVfuscationl

运行程序,测试发现它会将正确字符打印出来,因此可以采用逐位爆破的方法

 

import subprocess
import string
import sys
#和你的文件名一致
binary = "354e846facdf6f3d3205a1465d2fd811"

length = 0
result = ""
while 1:
    for i in string.printable:
        p = subprocess.Popen("./%s" % binary, stdin=subprocess.PIPE, stdout=subprocess.PIPE)
        p.stdin.write("1\n")
        p.stdin.write(result+i+"\n")
        output = p.stdout.readlines()[-1]
        if "Congraz~" in output:
            result += "}"
            print result
            sys.exit(0)
        if len(output)-8 > length:
            length += 1
            result += i
            print output
            break

运行文件

 

3.ekoparty-pre-ctf-2015 mov

和第一个一样 

 

香香大小姐
关注
movfuscator混淆了解一下 CTF
BadRer的博客
04-10 2577
参考文章 https://pediy.com/thread-208786.htm 前言 这次来了解一下movfuscator混淆。 例题一 https://secgroup.github.io/2017/02/06/alexctf2017-writeup-packed-movement/ 这是一道AlexCTF 2017的re。首先拿到题目,查壳是upx,使用upx -d脱壳。...
c语言代码混淆器,工具:c 混淆器——AvIator
weixin_42521558的博客
05-19 3101
本文转载自【微信公众号:MicroPest,ID:gh_696c36c5382b】从文章的受欢迎程度来看,大多数人还是喜欢工具类的,也可以理解,谁不想短平快一点呢。这里就介绍一个工具,对shellcode混淆的工具AvIator。据文章作者说,用它混淆过后可以过很多种杀软,效果非常得好;地址:https://github.com/Ch0pin/AVIator,在这里提供了编译好的x64和x86的E...
movfuscator混淆
CherestSan的博客
06-06 1514
movfuscator混淆机制 demovfuscator介绍
ctf mov混淆
lhk124的博客
09-03 581
首先贴一篇文章 https://blog.csdn.net/qq_33438733/article/details/79860304 作者跟我所要表达的是一致的。 mov混淆的解决方式: 简单的,会在某个寄存器中出现,全局搜索该寄存器后可以得出结果 或者可以使用动态调试出结果 难的,需要爆破 使用工具 https://github.com/kirschju/demovfuscator 计划 写一篇mov混淆的文章。深度些可以看代码,具体的。包括简单的 难的 使用工具的 使用动态调试的。感觉挺费事的,因为不知
Movfuscator:代码混淆的艺术与安全新维度
gitblog_00047的博客
03-20 277
Movfuscator:代码混淆的艺术与安全新维度 项目地址:https://gitcode.com/xoreaxeaxeax/movfuscator 项目简介 Movfuscator 是一个开源的、基于 x86 汇编语言的代码混淆工具,由开发者 xoreaxeaxeax 创建。它通过生成复杂的汇编指令序列,将原本清晰可读的代码转化为看似混乱但实际上功能不变的程序,增加了逆向工程的难度,从而提高了...
样本去混淆-分析加密数据来源和解密算法
08-19
样本去混淆-分析加密数据来源和解密算法 在这篇文章中,我们主要讨论了样本去混淆相关的内容,包括定位加密数据、判断解密算法和样本基本信息混淆。首先,我们可以通过样本基本信息来判断是否是恶意程序对抗分析...
ISO base media file format.pdf
07-24
这有助于区分不同的文件格式,防止不同格式的文件混淆。 总的来说,ISO base media file format是一种强大且灵活的多媒体文件格式规范,它不仅可以用于存储和传输多媒体内容,还可以用于支持流媒体播放和管理多媒体...
CodeDoctor 0.90
10-06
1.反混淆 在反汇编窗口中选择并执行这条指令。它会尝试将垃圾指令中转换成为清晰的指令。 举例: 原始指令: 00874372 57 PUSH EDI 00874373 BF 352AAF6A MOV EDI,6AAF2A35 00874378 81E7 0D152A41 AND EDI,412...
x86-Code-Virtualizer:x86二进制代码虚拟化工具
03-20
x86代码虚拟器(代码混淆器)开源和精简版的应用程序使...支持的x86操作码:Mov,Call,Push,Pop,Jump,Inc,Add,Xor,Cmp,Shl,Shr,Not,Or,Sub,Conditional Jumps.接触电邮: 推特: : 领英(LinkedIn): :根据MIT许可发布
万能视频格式转换器 V2[1].63
10-28
无论是常见的MP4、AVI、MOV、MKV,还是较为特殊的FLV、WMV、TS等格式,它都能轻松应对。这种广泛的格式支持使得用户无需因设备或平台的限制而烦恼,只需一个软件即可满足所有需求。 其次,这款软件还具备高效的转换...
仅使用mov指令实现通用图灵机
04-07
基于mov的UTM是图灵完备的论文x86和x86-64
混淆工具Dotfuscator基本使用
bcbobo21cn的专栏
01-08 2328
Dotfuscator是dnet程序混淆工具;混淆,就是搞乱代码,代码功能完全不变;这样反汇编以后难以阅读;以保护自己的知识产权; 此工具是微软提供的;可以从VS安装;也可以单独下安装包; 安装完; 写一个最简单winform程序; namespace test2 { public partial class Form1 : Form { public Form1() { InitializeComponent();
movfuscator混淆——re5-packed-movement
yhfgs的博客
11-20 872
1.查壳 upx加壳。 2.脱壳,IDA反编译。 发现主函数都是mov指令。看了大佬的wp才知道是movfuscator混淆。 (在mov指令的图灵完备性被证明之后,就产生了一种使用mov指令代替其他各种指令的混淆机制,运算,跳转,函数调用都可以全部使用mov指令实现。) 由于是movfuscator混淆,他只是把cmp,jcc等指令换成了mov指令,大体逻辑还是没变的。 直接分析汇编代码。shift+f12查找字符串 找到提示性字符串。跟进:发现有两处Guess a flag,wro
hackme inndy reverse mov writeup
charlie_heng的专栏
01-30 920
MOV instruction is turing complete! mov是图灵完备的! 说真的,第一次看到这题的时候感觉真的完全震惊。。。一大堆mov,还以为是把代码写到一个地方,之后跳到那里,但是debug的时候并没有。。。 然后过了一阵子,在油管上无意中看到一个视频,讲的是怎么只用mov来写程序的。。。。然后想起这题。。。 看完那个视频之后,油管又推了一个怎么解这种movfusc...
漫谈混淆技术----从Citadel混淆壳说起
weixin_34208185的博客
03-08 358
360安全卫士 · 2016/04/29 17:06Author:360天眼实验室0x00 前言由于杀软对商业壳比较敏感,并且商业壳检测,脱壳技术比较成熟,病毒作者一般不会去选择用商业的壳来保护自己的恶意代码,所以混淆壳成为了一个不错的选择.混淆壳可以有效对抗杀软,因为这种壳一般不存在通用的检测方法,并且很难去静态的脱壳,所以其恶意代码就不会被发现,从而使自己长时间的存在.对于恶意代码分析者来说,...
图灵机与图灵完备
xihuanyuye的博客
11-21 1685
一、图灵 艾伦·麦席森·图灵(Alan Mathison Turing,1912年6月23日-1954年6月7日),英国数学家、逻辑学家,被称为计算机科学之父,人工智能之父。 二、图灵机 2.1 图灵机模型 又称图灵计算、图灵计算机,是由数学家艾伦·麦席森·图灵(1912~1954)提出的一种抽象计算模型,即将人们使用纸笔进行数学运算的过程进行抽象,由一个虚拟的机器替代人们进行数学运算。它有一条无限长的纸带,纸带分成了一个一个的小方格,每个方格有不同的颜色。有一个机器头在纸带上移来移去。机器头有一组内部状态
一道movfuscator混淆过的简单逆向
weixin_30537451的博客
07-26 464
月赛中出了道经过movfuscator混淆的逆向题目,记录一下过程。跑起来发现需要用户输入长度为20的字符串,我尝试着输入了几次都是直接退出了,没有任何提示。用IDA打开,题目里面几乎全是mov指令。 并且在题目的开头注册了两个信号的处理,分别是对SIGSEGV和SIGILL的处理。 题目大小在10KB,根本没法逆,因此算法也不会太难,否则真是没法做了。想起...
简单易懂的混淆总结
jack_bear_csdn的博客
06-11 1425
  一、为什么要混淆-混淆的作用   压缩(Shrinking):默认开启,用以减小应用体积,移除未被使用的类和成员,并且会在优化动作执行之后再次执行(因为优化后可能会再次暴露一些未被使用的类和成员)。 -dontshrink 关闭压缩   优化(Optimization):默认开启,在字节码级别执行优化,让应用运行的更快。 -dontoptimize 关闭优化 -optimizationpa...
数采网关面临的安全挑战
最新发布
编程之道在明明德在亲民在止于至善
08-22 403
数采网关面临的安全挑战
汇编指令MSR和MOV区别
10-17
MSR和MOV都是汇编语言中的指令,但是它们的作用不同。 MSR指令用于将数据写入到控制寄存器中,控制寄存器是CPU中的一种特殊寄存器,用于控制CPU的各种行为。MSR指令的语法如下: MSR 寄存器名, 数据 其中,寄存器名是要写入的控制寄存器的名称,数据是要写入的数据。 MOV指令用于将数据从一个寄存器或内存单元移动到另一个寄存器或内存单元。MOV指令的语法如下: MOV 目标操作数, 源操作数 其中,目标操作数是要移动到的寄存器或内存单元,源操作数是要移动的数据。 因此,MSR和MOV指令的作用不同,不能混淆使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值