抗去除花指令(三)——去除检测

最新推荐文章于 2022-11-28 22:53:03 发布
最新推荐文章于 2022-11-28 22:53:03 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: win32病毒 文章标签: null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangbostar/article/details/6194570
版权

任何技术都有被攻破的一天,没有包打天下的方法。再强的花指令也是有可能被清除的,这时我们也要想办法应对。所以我们经常需要检测花指令是否被清除,加以应对。

一、花指令被清除后的痕迹
    我们来看一下,下面一段简单花指令被清除后的结果:
代码:
  jmp @F
   byte 08eH
@@:
   ret

清除后:

 

二、检测   

     从上文我们可以看到,花指令被替换指令NOP,这样就不必重构代码,就能够使代码正常运行。显然,我们只要NOP就行了。
举例:
.386
.model stdcall,flat
option casemap:none
include windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
.data
Context byte "Junkcode has been cleaned",0
Tip byte "Tip",0
.code
start:
JunkCode:
  jmp @F
  byte 8eH
@@:
  mov al,byte ptr[$-1]
  cmp al,90H
  jnz  Pro_End
  invoke MessageBox,NULL,addr Context,addr Tip,MB_OK  
Pro_End:
  invoke ExitProcess,0
end start

yangbostar
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
指令去除
03-16
指令 专杀 指令去除
【逆向学习】指令去除
WangLal的博客
04-22 2659
逆向指令
逆向分析基础 --- 指令实现及清除
热门推荐
abelxu
06-15 1万+
一、基本概念 指令:目的是干扰ida和od等软件对程序的静态分析。使这些软件无法正常反汇编出原始代码。 常用的两类反汇编算法: 1.线性扫描算法:逐行反汇编(无法将数据和内容进行区分) 2.递归行进算法:按照代码可能的执行顺序进行反汇编程序。 简单的指令 0xe8是跳转指令,可以对线性扫描算法进行干扰,但是递归扫描算法可以正常分析。 两个跳转一个指向无效数据,一个指向正常数据来干扰递归扫描算法。 二、指令实现 这里的实验基础代码是参考安全客上一个师傅代码进行的 //源码 #include<s
2022CTF培训(四)指令&字符串混淆入门
sky123博客
11-28 2124
逆向工程中一个常用的技巧就是通过字符串来寻找核心代码,例如通过错误提示来找到判断的相关代码、通过提示语句找到相近的功能代码、通过日志输出找到相关的功能代码等等。可见字符串对于逆向人员是一个很重要的切入点。因此,保护方使用字符串混淆技术,对静态文件中的字符串进行加密,使得直接在文件中搜索字符串无法获得信息。当程序运行时再对字符串进行解密,恢复其的可读性。静态解密指的是对解密函数进行逆向,从而直接根据解密算法和加密内容进行恢复。好处有以下几点无需执行,避免环境配置、反调试等问题。
手动去除指令
qq_43335618的博客
07-14 2668
指令的作用 指令是对反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误,使ida和ollydbg等搜索不到字符串。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。 缺点:不能防止动态调试 以以下代码为例: #include <iostream> int main() { _asm { xor eax,eax t
高速版的更精简版本RISClite-MX(去除中断和模式)——代码更加清晰和简洁 [
08-25
为了让高速版更加清晰明了,我对它做个改造,在无乘法的版本下,去除了所有的中断和七大模式。现在,它只工作在一种模式下,因此,我们在编写嵌入式软件时,必须注意不能让它切换模式,那么它就能工作无误。 为此...
题目1——流水线中的相关
07-02
1) 用WinDLX模拟器执行下列个程序(任选一个): 2) 用WinDLX运行程序structure_d.s,通过模拟:  找出存在结构相关的指令对以及导致结构相关的部件;  记录由结构相关引起的暂停时钟周期数,计算暂停时钟周期...
Java语言程序设计的课程设计项目——利用Java实现地球系动画完整实现实例(第3部分).pdf
05-29
3) Java 中的数组跟 C/C++这些语言中的数组的语法结构很相似, 但是 Java 去掉了 C/C++ 中的可以使用指针来访问元素的功能。 注意: 1) 数组类是一个空类(自身没有声明任何成员变量、成员方法、构造函数和 ...
cmd操作命令和linux命令大全收集
04-24
copy 1st.jpg/b+2st.txt/a 3st.jpg 将2st.txt的内容藏身到1st.jpg中生成3st.jpg新的文件,注:2st.txt文件头要空排,参数:/b指二进制文件,/a指ASCLL格式文件 copy ipadmin$svv.exe c: 或:copyipadmin$*.* 复制...
计算机应用基础专科20.9作业参考答案.docx
05-25
答:分为个阶段:即取指令-分析指令-执行指令。1、即取指令:根据程序计数器PC中的值从程序存储器读出现行指令,送到指令寄存器。2、分析指令:将指令寄存器中的指令操作码取出后进行译码,分析其指令性质。如...
指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出指令 将他清除
PE伪装器指令添加器
04-03
PE伪装器指令添加器
C++ Junk Code 生成器 E源码
03-07
C++ Junk Code(码) 生成器,方便Coder快捷生成Junk Code,本源码为E语言源码
《C++ primer plus》读书笔记(一)
01-20
2、名称空间——相当于Java中的package,using编译指令相当于Java中的import。头文件没有.h前缀时,类、函数和变量是C++编译器的标准组件,被放置在名称空间std中。 3、类的本质——类是用户定义的一种数据类型。类...
WinDLX实验报告.doc
03-10
实验目的: 1)熟悉计算机流水线基本概念 2)了解DLX基本流水线的各段的功能了解各种不同指令在流水线中的实际流动情况 3)对流水线做性能分析 4)了解影响流水线效率的因素——数据相关、结构相关、控制相关,了解...
常用的指令
人生代码,代码人生。。。
11-19 3764
1.伪装vc++5.0代码: PUSH EBP   MOV EBP,ESP   PUSH -1   push 111111   -\___ PUSH 111111   -/   在这段代码中类似这样的操作数可以乱填   MOV EAX,DWORD PTR FS:[0]   PUSH EAX   MOV DWORD PTR FS:[0],ESP   ADD ESP,-6C   P
re学习笔记(34)BUUCTF-re-[HDCTF2019]Maze 指令去除
逆向随笔
02-03 3415
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:[HDCTF2019]Maze 题目下载:点击下载 IDA载入 可以看出这应该是关键代码的一部分。 这里jnz跳转到了下一行代码,相当于没跳转 而下面的call near ptr 0EC85D78Bh调用了一个不是地址的地址,可以推断出这段代码添加了指令,IDA分析失败了。 可以确定这个jnz指令指令,还有下面的call指令。 先将j...
c语言指令怎么去除,[原创]去除指令代码
weixin_30152861的博客
05-20 361
52008-10-3 05:46// A Test Simple#define WIN32_LEAN_AND_MEAN#include "windows.h"//找出指令的位置并去掉指令void FindFlowerCodeAndRemove2(LPVOID src, LPVOID flw, int nSrcLen,int nflwLen){__asm{xor eax,eaxpush esip...
简单的凯撒加密并手动去除指令
qq_35650513的博客
01-21 411
这个程序是加了指令的,首先去除指令 定位到指令位置 给他nop掉 接下来保存下来就行了 我们将去除指令的程序拖到ida中 这是我们的main函数 我们对main函数和算法进行一些重命名修改 这个算法就是将我们输入的字符串转换为一个新的字符串,在与 ((++**–,//…QQPP 这个字符串对比 char key[] = "bcdaren"; int __cdecl Algorithm(char* inputkey, char* outputkey, int a3) { sig
anchor设置 yolo_目标检测——YOLO-v2!
最新发布
06-10
在YOLO-v2目标检测算法中,Anchor是指一组预设的边界框,这些边界框的大小和比例是在训练集中通过聚类得到的。YOLO-v2使用KMeans聚类算法来得到预设的Anchor。具体步骤如下: 1. 从训练集中选取一部分样本作为聚类样本; 2. 对聚类样本进行KMeans聚类,得到K个聚类中心; 3. 对聚类中心进行非极大值抑制(NMS),去除高度重叠的聚类中心; 4. 选取剩余聚类中心作为Anchor。 得到预设Anchor之后,YOLO-v2通过比较每个Anchor与目标框的重叠程度来确定目标框的位置和大小。具体来说,对于每个Anchor,如果它与某个目标框的重叠程度(IoU)高于一定阈值,则该Anchor被认为是与该目标框对应的Anchor,然后通过回归的方式预测目标框的位置和大小。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值