一段花指令

最新推荐文章于 2024-10-25 15:59:54 发布
转载 最新推荐文章于 2024-10-25 15:59:54 发布 · 1.1k 阅读 · 1
文章标签:

#加密 #c

Submitted by 李马 on 2007, February 21, 12:00 PM. 技术的角落

您可以任意转载这篇文章,但请在转载时注明原始链接和作者,谢谢。

本文链接:http://www.titilima.cn/show-177-1.html

今天用OllyDbg为某个软件脱壳的时候,发现了一小段令人费解的机器码。这段机器码经IDA解释后如下:

pusha ; 60
call near ptr loc_10116007+3 ; E8 03 00 00 00
loc_10116007:
jmp near ptr 556E64F7h ; E9 EB 04 5D 45
db 55h
db 0C3h
db 0E8h

是的,这就是传说中的花指令了。我于是将其重新排列并解析,如下:

pushad ; 60
call near ptr proc1 ; E8 03 00 00 00
db 0E9h
jmp short line2 ; EB 04
proc1:
pop ebp ; 5D
inc ebp ; 45
push ebp ; 55
retn ; C3
line2:
; other code....

这段代码的第二行进行了一个近调用至proc1,proc1中的三行代码则将堆栈的栈顶(亦即ESP指向的位置)值加1,于是之后ret的返回地址便越过了e9的这一个字节并执行后面的近跳转,这个近跳转则会越过proc1的四个字节,最后执行line2处的真正代码。相比之下,静态分析的IDA却不会智能跳过这个字节,于是这个字节便被解释成为了跳转指令jmp。这样一来后面代码的解析也就被打乱了,加密者的目的也就达到了。

C/C++常用预编译指令介绍
dvlinker的技术专栏
09-10 1万+
介绍C/C++中常用的预编译指令。
汇编语言:callcall far ptrcall word ptrcall dword ptrcall 寄存器
天道酬勤
08-17 3262
call指令是转移指令,CPU执行call指令,进行两步操作:(1)将当前IP或当前CS和IP压入栈中(2)转移。call 标号指令功能:将当前IP压入栈中,然后转移到标号处执行指令。call far ptr标号指令功能:将当前CS压入栈中,然后再将当前IP压入栈中,最后转移到标号处执行指令。call 16位寄存器指令功能:将当前IP压入栈中,然后转移到寄存器中指明的目的地址处执行指令。call word ptr 内存单元地址指令功能:将当前IP压入栈中,然后转移到内存中指明的目的地址处执行指令。
花指令简析
m0_46296905的博客
05-30 4265
几种花指令简析一、花指令1(一)反汇编代码比对(二)去花1.手动改字节2.IDC去花 本篇博客我们将给用下面源代码编译出的程序加不同的花指令来分析,并学习如何去除花指令 //实现求n的m次方 #include<stdio.h> #include<windows.h> int main() { MessageBox(NULL, "未加花指令", "YQC", 0); int n, m, result=1; printf("请输入n和m:\n"); scanf_s("%d%d"
C语言写花指令,[原创]写花指令-加壳脱壳-看雪论坛-安全社区|安全招聘|bbs.pediy.com...
weixin_29443363的博客
05-20 722
[原创]写花指令2013-8-16 15:419889[原创]写花指令2013-8-16 15:419889花指令,就是一串用来迷惑反编译器的汇编指令,它是利用编译器线性扫描算法的缺陷来达到的,比如说反编译器读取到E8(对应CALL汇编码)这机器码,接着会往下读取四个字节的数据作为跳转地址,如果我们在写程序的时候嵌入_asm _emit 0E8,反编译器就会把下一条指令当做地址数据,不管下一条指令...
花指令来袭
KD的疯狂实验室
04-24 1169
想起了...... 两类花指令:1可执行花指令2不可执行式花指令
花指令相关-[GFCTF2021]-wordy,[NSSRound#3 Team]jump_by_jump题解
m0_73393932的博客
03-18 2402
逆向
免杀之花指令
07-15 1159
 push ebppop ebppush eaxpop eaxpush esppop esppush 0push 0push 10 -------其中数字可以任意,注意与下面对应push -10nop -----------可任意在中间添加与它等效的:mov EDI,EDIadd esp,1 -------其中数字可以任意,注意以下面对应add esp,-1add esp,1
c语言加花指令,花指令的应用
weixin_31036949的博客
05-21 1957
原标题:花指令的应用 对免杀的影响是非常大的,有效地利用花指令可以使免杀工作事半功倍,甚至单凭花指令就可以达到免杀的效果。一、花指令在免杀领域的应用1、花指令的应用技巧在使用之前,首先我们应该明白什么时候比较适合使用,同时还要清楚什么时候不适合。总的来说,应该在无壳的木马中应用,如果木马已经被加壳,那么我们必须要先脱壳然后再添加。不管是加壳还是加都可以看作是一种加密行为,因此一般都是先加然后再加壳...
怒剑狂花1.5-花指令免杀工具
05-30
第一种:只跳一次型的花指令添加法(指的是跳到oep的那一次)  这种花指令一般是以“jmp xxxxxxxx”...首先,用od载入一个Microsoft Visual C++ 6.0编写的程序,将这段花指令用od的“二进复制”功能复制到剪贴版中!
免杀对抗—特征码修改&花指令&资源修改&加壳保护
最新发布
2301_76227305的博客
10-25 2246
特征码修改还是可以的,缺点就是不能做到通杀,只能针对某个杀软来修改,优点就是效果好。这个技术是属于比较老的了,而且过程又麻烦,现在几乎没有什么课会讲到这个技术了,就我所知只有小迪讲。花指令我感觉过时了这个玩意,也可能是我添加的太少了,加几十条可能效果好点,但是我懒。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
五段式指令流水线
流楚丶格念的博客
06-06 9043
文章目录机器周期的设置注意步骤考试中常见的五类指令:常见的五类指令运算类指令的执行过程运算类指令举例:注意:LOAD指令的执行过程LOAD指令举例注意:STORE指令的执行过程STORE指令举例条件转移指令的执行过程条件转移指令(转移类指令常采用相对寻址) 机器周期的设置 流水线每一个功能段部件后面都要有一个缓冲寄存器,或称为锁存器,其作用是保存本流水段的执行结果,提供给下一流水段使用。 注意 为方便流水线的设计,将每个阶段的耗时取成一样,以最长耗时为准。 即此处应将机器周期设置为100ns。 理想情况
花指令学习资料
ty1921的学习历程
09-29 2012
一.花指令概念: ★花指令是一堆汇编指令组成,对于程序来说,是一堆无用的代码,相当于在原地向左转然后向右转来把别人转晕了就是我们的成功.加不加花指令都不会影响程序的正常运行.编写的花指令要终始保持堆栈的平衡.比如我们的程序运行一半了突然跑去自定义计算个1+1=2,然后继续回来执行刚才的程序后半部分,这样看起来很弱智,但对杀毒软件来说,这会严重降低他们的查毒能力. ★堆栈的解释:相当于在仓库货物时先
c语言花指令怎么去除,[求助]去除驱动花指令--编写IDC脚本-问题
weixin_27303545的博客
05-20 408
32008-10-15 13:44根据图片信息用IDA模拟结果如下:10460 E9 17 01 00 00 90 90 90 90 90 8D 85 38 FF FF FF10470 50 6A 14 68 40 22 01 00 E8 23 FE FF FF 0F 82 0710480 00 00 00 0F 83 01 00 00 00 E8 8D 85 38 FF FF FF1...
木马免杀之汇编花指令技巧
人生代码,代码人生。。。
11-18 1803
木马免杀之汇编花指令技巧   相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改花指令,改特征码的技巧和编写自己的花指令。   一、免杀必备的汇编知识   push 压栈,
汇编——子程序调用参数传递的三种方式(示例程序:三个数累加求和)
0rambot的博客
12-08 1万+
一、子程序定义 子程序名      PROC     NEAR|FAR                      .                      .                      RET 子程序名       ENDP 子程序名相当于标号,表示本过程的符号地址。过程有NEAR和FAR两种类型,FAR型的过程可供段间调用,NEAR型过程仅供段内调用。 在一个过...
call指令和ret指令
picktheshy的博客
10-15 447
call标号类似"jmp near ptr 标号”,对应的机器指令中为相对于当前IP的。指令“call far ptr 标号”实现的是段间转移!CPU执行“call far ptr标号”时的操作。,**而不是转移的目的地址,**实现段内转移。CPU执行call指令,进行两步操作∶。"call far ptr标号”相当于。(IP)=标号所在的偏移地址。jmp far ptr 标号。(CS)=标号所在的段地址。字面意思:调用子程序。
汇编中的jmp转移指令:jmp short、jmp near ptr、jmp far ptr
热门推荐
yeanhoo的博客
08-14 3万+
汇编中的jmp转移指令:jmp short、jmp near prt、jmp far ptr 从8086CPU的定义上来讲,只要是可以修改IP(指令指针寄存器),或同时修改CS(代码段寄存器)和IPIP(指令指针寄存器)的指令统称为转移指令。也就是说,转移指令是用来控制CPU指令内存中某处代码的指令。 那么通过转移区间的不同进行分类则有以下情况: 段内转移:只修改IP的值。也就是说,CS的值不变化...
十八、使用call和ret指令实现子程序的调用和返回
计算机
11-15 8666
1.   子程序返回:        a. 可以用一个标号来标志一段子程序,在C语言里面就是所谓的函数;        b. 在子程序的末尾必须使用一个返回指令,将程序返回到调用子程序的位置处,这里先不讨论如何返回程序中的值,先讨论如何使程序回到调用子程序的位置处;        c. 使用ret指令实现近返回:             i.   即近转移,return的缩写,只修改ip的
8086汇编之 CALL 和 RET指令
eskimoer的专栏
06-19 8494
Ret 和 call 也是转移指令,但是他们跟jmp不同的是,这两个转移指令都跟栈有关系。 ret 用栈中的数据修改IP的地址,从而实现近转移 ( ip ) = ( (ss)*16+ sp ) ( sp ) =( sp ) + 2 相当于pop ip retf 用栈中的数据来修改CS以及IP的值,实现段间转移 ( ip ) = ( (ss)*16+ sp ) ( sp ) =
花指令添加器:提升效率的必备工具
由于提供的文件信息中,标题、描述和标签都是“花指令添加器”,而文件名称列表只给出了一个文件“花指令添加器.exe”,没有提供具体的软件功能描述、使用场景、技术背景等详细信息,导致我无法生成准确的知识点。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值