190319 逆向-花指令

最新推荐文章于 2023-10-29 18:29:20 发布
VIP文章 最新推荐文章于 2023-10-29 18:29:20 发布
阅读量4.7k 收藏 5
点赞数 5
分类专栏: CTF CrackMe 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/88677670
版权

以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转
前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD

前言

花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。
广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。

原理

产生花指令的根本原因是x86指令集由不定长指令构成
当通过跳转使执行流命中到另一条指令的中间时就会造成静态反汇编的解析错误

现代反汇编器有两种思路:

  1. 线性扫描
    从开头到结尾依次读取机器码并进行反汇编
  2. 递归下降
    从程序入口向后反汇编,遇到条件跳转则分别从分支的地方继续反汇编,无条件跳转则尝试从目的指令继续反汇编

线性扫描显然很容易制造花指令,只要在跳转和目标之间插入长度较长的指令开头(例如E8,后接4个字节)即可使之后的所有指令解析错误。OllyDbg和windbg就是使用的线性扫描法

而递归下降则可以避开这种简单的花指令,跳过中间的脏字节。但对于一些针对性的花指令–例如jz+jnz+脏字节,则会由于上下文无关的算法而对脏字节进行解析

除此以外还有把call当jmp使用的手段,由于在编译器中call只会用来作为子程序/函数跳转的指令,因此IDA往往会将call的地址视作一个函数的起始地址,进而破坏整个函数的完整性

分类

jx+jnx

最常见的一种花指令
jx+jnx
如前所述,jnz后是“可能的分支”,会破坏后续指令的解析

call+pop/add esp/add [esp] + retn

call+add esp
call指令可以理解为jmp + push ip
因此如果通过add esp,4来降低栈顶即可去除push ip的影响,从而使call等价于jmp
但IDA会认为这是函数的分界,从而导致函数的范围识别错误

stx/jx

在这里插入图片描述

CLC [Clear Carry Flag] 清除EFlags寄存器的Carry标志位
jnb [jump if cf=0] 如果Carry标志位为0则跳转
因此结合起来也相当于jmp,而单纯的IDA无法联系上下文也认为后一个字节是可能的分支

去花

通过IDA脚本或者编程操作二进制都可
由于花指令有固定的格式,因此对其使用串进行匹配并将其NOP掉即可

最低0.47元/天 解锁文章
奈沙夜影
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF逆向-简单虚拟机指令类题目分析
11-26
CTF逆向-简单虚拟机指令类题目分析CTF逆向-简单虚拟机指令类题目分析
通过一款早期代码抽取壳入门学习 so 层分析
键盘的起始页
07-28 2714
1. 前言 文章开始需要提下的就是,在如今看雪论坛的用户一发关于安卓加固的文章动辄就是有关脱壳机、vmp、函数级指令抽取或者各大厂商的加固等技术的情况下,为何我要发一个代码抽取壳的分析,并且还是早期的那种整体抽取、整体还原回去、没有混淆、代码风格十分民风淳朴的那种壳... 原因是我开始尝试复现论坛中一些很优秀的关于 so 层的分析帖子时候,尽管很多帖子都力所能及进行了十分详细的说明,可是有些步骤我复现起来还是觉得不太理解或者有点力不从心,很多时候也是因为一些知识点和操作对大佬来说是比较简单的事情,.
Win32反汇编(三)深层次的了解各种转移指令:IF语句有符号与无符号跳转
浪子花梦
08-10 1480
前言 作者:浪子梦,一个有趣的程序员 ~ 此系列文章都是一些基础的文章,每篇文章都通过几个小例子快速的了解 Win32反汇编与OD的使用,在此作个笔记 如若对您有帮助,记得三连哟 ~ 前文链接 Win32反汇编(一) 初步探索Win32反汇编 与 Ollydbg的简单使用 Win32反汇编(二)几种常见的指令反汇编详解:EAX、MOVSX与MOVZX、LEA、SUB、CMP与转移指令 文章目录 JMP 与 goto 有符号:JL JNGE、JLE JNE(小于、小于等于)跳转指令 有符号:.
学 Win32 汇编[28] - 跳转指令: JMP、JECXZ、JA、JB、JG、JL、JE、JZ、JS、JC、JO、JP 等...
热门推荐
weixin_34329187的博客
04-16 1万+
跳转指令分三类: 一、无条件跳转: JMP; 二、根据 CX、ECX 寄存器的值跳转: JCXZ(CX 为 0 则跳转)、JECXZ(ECX 为 0 则跳转); 三、根据 EFLAGS 寄存器的标志位跳转, 这个太多了. 根据标志位跳转指令: JE ;等于则跳转 JNE ;不等于则跳转 JZ ;为 0 则跳转 JNZ ;不为 0 则跳转 JS...
汇编语言的相对跳转和绝对跳转以及反汇编代码解析
qq_37659294的博客
04-20 4132
上图第一行的b1 main为相对跳转,即跳转到pc+offset,其中pc为当前pc值,offset可以理解为偏移地址,也就是根据当前所在地址加上偏移地址实现跳转,为相对跳转。 我们来看看它的反汇编代码 上图清除完bss区后使用b1指令跳转到30000668,要注意b1是相对跳转指令,后面写着30000668并不是说一定跳转到这个地址,这里之所以写出这个地址是方便我们看而已,如果在程序...
反汇编技术
qq_67181251的博客
10-29 289
当jz与jnz的目地地址相同时,此时相当于jmp,但是IDA会将jnz后面的指令(实际上不会执行的指令)进行反汇编,这个时候如果加上比如call(E8),jmp(E9)等字节指令,那么势必会导致反汇编出现问题。当条件一定满足时说明这条判断语句指令后面的代码一定处于可执行状态,那么false对应的指令一定不会执行,这个时候倘若出现反汇编错误就可以对false对应的指令进行修改。由于SEH存放在栈中,最后放入的函数最先进行调用,所以可以通过压栈实现加入对应的函数,通过FS:[0]寄存器来进行寻址。
[免杀]初·反汇编指令大全
m0_68702501的博客
11-18 693
反汇编入门,汇编指令大全
iOS逆向工程之Hopper中的ARM指令详解
09-01
主要介绍了iOS逆向工程之Hopper中的ARM指令的相关资料,本文介绍的非常详细,具有参考借鉴价值,需要的朋友可以参考下
逆向破解工具_汇编指令查询器
10-14
内含两个查询器: 1.AsmFun(汇编指令查询器) 2.汇编金手指 文件经过COMODO主防认证、自己在用的
逆向利器Unicorn-一款很酷的指令模拟器
最新发布
11-16
Unicode 32位dll和lib
电晕:逆向工程SARS-CoV-2
01-31
3字节宽的指令集,带有任意“” 多蛋白是具有多个片段的功能 精度达80% 这似乎很难预测: : 10.1371/ 细菌是静态链接,病毒是动态链接 模拟 模拟似乎还行不通。 受工具和计算约束。 没有等效 我们正在对CAD格式...
2022CTF培训(四)指令&字符串混淆入门
sky123博客
11-28 2099
逆向工程中一个常用的技巧就是通过字符串来寻找核心代码,例如通过错误提示来找到判断的相关代码、通过提示语句找到相近的功能代码、通过日志输出找到相关的功能代码等等。可见字符串对于逆向人员是一个很重要的切入点。因此,保护方使用字符串混淆技术,对静态文件中的字符串进行加密,使得直接在文件中搜索字符串无法获得信息。当程序运行时再对字符串进行解密,恢复其的可读性。静态解密指的是对解密函数进行逆向,从而直接根据解密算法和加密内容进行恢复。好处有以下几点无需执行,避免环境配置、反调试等问题。
指令总结
Captain_RB的博客
04-12 5272
指令又称脏字节,英文为"junkcode",顾名思义,即在程序中加入的一些垃圾指令,其目的是在不妨碍原有程序执行的前提下,阻碍程序反编译,增加静态分析难度,隐匿不想被逆向分析的代码块,混淆代码,绕过特征识别。本文将常见的指令进行归纳总结,作学习记录。
指令详解
m0_51246873的博客
10-04 4221
逆向CTF之令详解
CTF逆向基础----指令总结
一位非著名不专业的Re选手
03-13 8450
什么是指令? 指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,指令被作为一种手段来增加静态分析的难度,指令也可以被用在病毒或木马上,通过加入指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的指令的形式,指令一般被分为两类,被执行的和不会被执行的。 不会被执行的指令 指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
指令的原理,指令的分析方法
WdIg-2023的博客
07-03 878
在我们逆向分析的过程中,经常会受到指令的干扰,今天我就来带领大家了解了解指令
用两种方式实现代替 pop esp ,push esp
zdy8023的博客
01-13 1729
使用2种方式实现:push esp 第一种方式: mov dword ptr ss: [esp-4],esp sub esp,4 第二种方式: mov dword ptr ss:[esp-4],esp lea esp,dword ptr ss:[esp-4] 使用2种方式实现:pop esp...
指令
weixin_34310127的博客
07-03 324
本文作者:sodme本文出处:http://blog.csdn.net/sodme声明:本文能够不经作者允许随意转载、复制、引用。但不论什么对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能非常多人都听说过指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是指令?它的原理是什么?二、在什么地...
逆向学习】指令的去除
WangLal的博客
04-22 2597
逆向指令
逆向工程push指令
10-15
逆向工程中,我们可以通过反汇编程序将机器码转换为汇编代码,从而分析程序的执行过程。下面是一个简单的push指令的例子: ``` push eax ``` 这条指令将寄存器eax中的值压入栈中。在执行这条指令之前,栈顶指针...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值