180304 逆向-抵御静态分析(3)

最新推荐文章于 2019-06-20 19:48:00 发布
最新推荐文章于 2019-06-20 19:48:00 发布
阅读量248 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79656007
版权

1625-5 王子昂 总结《2018年3月4日》 【连续第519天总结】
A. 抵御静态分析(3)
B.

信息隐藏

为了提高界面的友好度,大多数软件都会在大量地方显示提示语。
而这些提示语由于特殊性和特征明显,经常被作为静态分析的突破口。(例如IDA的Shift+F12,OD的智能搜索字符串233)
破解者循着破解点的字符串即可直接找到破解点的代码,进行操作。

为了防范这一点,许多加壳、混淆工具会自动加密所有字符串。
在编写的时候,也可以自行进行加密字符串。
即使是简单的ascii+1,也可以使得字符串变得完全不可读
更复杂的可以使用一些函数来处理,使每个字符串都不尽相同,增加破解时的复杂度

多态变形技术

多态技术往往意味着它会把核心代码进行编码,然后生成一个复杂的解码器,在运行的时候对其解码。
变形则是把一段代码重新编码,虽然仍然使用x86指令集,但是例如”add eax, 5”可能会被换成等价的5个”inc eax”,并且可以用jmp打乱代码的顺序。
诸如此类的变换使代码迅速膨胀,因此注重小体积的病毒并不过多地用变形,而在壳中可以不去关心体积。Themida壳保护一个几KB的小文件会膨胀到将近2MB。
尽量地将代码变形,可以很好地干扰分析人员。

变形引擎编写较为困难,因为它需要一个反汇编引擎,还要能对代码块进行分析。

要想还原变形,就必须写一个相应的收缩程序(Shrinker),这也同样需要一个反汇编引擎。
在代码中插入的数据一致是所有反汇编引擎头疼的东西,即使是IDA也没有把握区分出谁是数据谁是代码。

变形引擎主要来自病毒,VX Heaven(http://vx.netlux.org)上有非常多的病毒资料,几乎所有的病毒引擎都可以下载。

C. 明日计划
文件完整性校验

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密与解密——抵御静态分析
40KO的博客
01-23 549
抵御静态分析本质上就是降低反汇编代码的可读性,不过这种保护方式通常只是起到了扰乱作用,如果只是单独使用其中一种,那就只是纸老虎而已,理论上通过动态分析的方法,可以完全无视这样的保护,所以这些保护技术需要和其他保护技术相互配合才能达到良好的效果。   花指令 数据与代码的区分是反汇编中的一个关键问题,花指令就是向代码中添加一些无用的数据和代码,使得反汇编器的反汇编结果出现局部不正确的情况,或者...
病毒分析教程第三话--静态逆向分析(下)
安全杂货铺
07-17 1134
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集中在三个红框中的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
180302 逆向-抵御静态分析(1)
whklhhhh的博客
03-22 462
1625-5 王子昂 总结《2018年3月2日》 【连续第517天总结】 A. 抵御静态分析(1) B. 静态分析逆向工程中常用的手段。 因此抵御静态分析也是一个很值得深入的话题。 花指令 在反汇编的过程中,存在着几个关键的问题。 其中之一就是数据与代码的区分问题。 汇编指令长度、多种多样的间接跳转实现形式,反汇编算法必须对这些情况作出恰当的处理,保证反汇编结果的正确性。 ...
病毒分析教程第三话--静态逆向分析(上)
安全杂货铺
07-16 1541
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
发布程序加密防破解
weixin_30394333的博客
06-20 441
发布程序前一定要做加密,不然会被破的体无完肤。推荐几款加密产品。 Virbox Protector Standalone加壳工具 效果:代码加密,防止静态反编译 加密技术:代码混淆/虚拟化/代码加密/智能压缩/ 使用体验:提供demo版和正式版,加密操作简单,直接对dll或者exe加壳保护。对java的jar包/class文件、python的pyc文件等也有加密方案。新版本支持批量加壳。...
180303 逆向-抵御静态分析(2)
whklhhhh的博客
03-22 283
1625-5 王子昂 总结《2018年3月3日》 【连续第518天总结】 A. 抵御静态分析(2) B. SMC技术 SMC(Self-Modifying Code),即自修改代码 34c3ctf的re1就是使用这项技术的题目,结合随机数使其静态分析看起来很迷惑。相当有意思的题目 SMC技术是事先将代码进行加密,存放在程序中。然后程序运行时对其解密,使其成为可执行的代码后...
干货!一文了解安卓APP逆向分析与保护机制
01-27
安卓APP的逆向分析与保护机制是移动应用开发中至关重要的一环,因为Java代码的可读性和可反编译性,使得应用的安全性面临严峻挑战。...随着逆向分析工具的进步,保护技术也需要持续更新以抵御新的攻击手段。
Android-Droidefense:高级的Android恶意软件分析框架
08-12
1. **静态分析**:Droidefense支持对APK文件进行静态分析,这包括但不限于解析APK的结构、提取Manifest文件中的权限请求、检测隐藏的资源和库文件,以及对Dalvik字节码进行逆向工程。通过静态分析,可以快速识别出...
安卓app逆向与安全防护PPT.rar
12-13
- **静态分析**:使用静态代码分析工具,如AndroBugs Finder、MobSF等,发现潜在的安全问题。 - **动态分析**:通过模拟器、真实设备或云测试平台进行黑盒和灰盒测试。 10. **案例分析与实战演练** - 学习实际的...
Objective-C代码混淆(网络安全).zip
最新发布
06-10
研究和应用这些混淆技巧,可以有效提升Objective-C应用程序的安全性,抵御恶意攻击和逆向工程。 总的来说,Objective-C代码混淆是提高软件安全性的必要步骤,它涉及到代码的组织、命名规则、运行时特性的利用等多个...
iOS应用逆向工程第1,2,3,7章(第2版)
08-17
5. **静态分析**:对IPA文件进行解包,分析应用程序的资源和可执行文件,使用Hopper Disassembler或Class-Dump-z来反编译类和方法。 6. **代码混淆与反混淆**:了解如何对代码进行混淆以保护应用,以及如何逆向混淆...
190328 逆向-浅谈反调试
热门推荐
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
190319 逆向-花指令
whklhhhh的博客
03-20 4860
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
180517 逆向-反控制流平坦化(符号执行脚本)
whklhhhh的博客
05-17 4784
控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2111
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1874
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
180306 逆向-反调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1774
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 反调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
180705 逆向-Linux的逆向
whklhhhh的博客
07-12 1537
常用工具和命令 nm 列出目标文件的所有符号 objdump -d参数表示反编译.text段中的程序代码 readelf 查看ELF文件的各种信息 IDA gdb IDA 与PE程序基本类似,将ELF程序拖入IDA也可以快速的反汇编,主要借助hex-ray插件来反编译出可读性较高的伪代码 实验-passwd_generator trick patch dynam...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值