花指令初认识

最新推荐文章于 2025-03-15 00:27:53 发布
最新推荐文章于 2025-03-15 00:27:53 发布
阅读量536 收藏 1
点赞数
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lwhaaaa/article/details/116084730
版权

文章目录

0x01 花指令简介

​ 花指令是企图隐藏掉不想被逆向工程的代码块 (或其它功能) 的一种方法, 在真实代码中插入一些垃圾代码的同时还保证原有程序的正确执行, 而程序无法很好地反编译, 难以理解程序内容, 达到混淆视听的效果。花指令会使得 IDA 在分析过程中出现问题,可能产生堆栈不平衡。

0x02 堆栈不平衡

​ IDA 中产生堆栈不平衡的原因可能是由于不同的函数调用约定,也可能是在实现代码保护插入了代码混淆(特指使用 push/push+ret 实现函数调用)。

关于函数调用约定:

​ 函数的调用约定,顾名思义就是对函数调用的一个约束和规定(规范),描述了函数参数是怎么传递和由谁清除堆栈的。它决定以下内容:(1)函数参数的压栈顺序,(2)由调用者还是被调用者把参数弹出栈,(3)以及产生函数修饰名的方法。
​ 主要需要了解三种调用约定:__cdecl、__stdcall、__fastcall。

1、__cdecl

​ cdecl(C declaration,即C声明)是源起C语言的一种调用约定,也是C语言的事实上的标准。在x86架构上,其内容包括:

  1. 函数实参在线程栈上按照从右至左的顺序依次压栈。
  2. 函数结果保存在寄存器 EAX / AX / AL 中
  3. 浮点型结果存放在寄存器 ST0 中
  4. 编译后的函数名前缀以一个下划线字符
  5. 调用者负责从线程栈中弹出实参(即清栈)
  6. 8 比特或者 16 比特长的整形实参提升为32比特长。
  7. 受到函数调用影响的寄存器(volatile registers):EAX, ECX, EDX, ST0 - ST7, ES, GS
  8. 不受函数调用影响的寄存器: EBX, EBP, ESP, EDI, ESI, CS, DS
  9. RET指令从函数被调用者返回到调用者(实质上是读取寄存器EBP所指的线程栈之处保存的函数返回地址并加载到IP寄存器)

2、__stdcall

​ stdcall是由微软创建的调用约定,是Windows API的标准调用约定。非微软的编译器并不总是支持该调用协议

  1. 函数实参在线程栈上按照从右至左的顺序依次压栈。
  2. 由被调用者负责清栈
  3. 编译后的函数后缀以符号“@”
  4. 寄存器EAX, ECX和EDX被指定在函数中使用,返回值放置在EAX中
  5. 其他方面与 __cdecl 一样

3、__fastcall。

​ 此约定还未被标准化,不同编译器的实现也不一致。

Microsoft/GCC fastcall
Microsoft 或 GCC 的 fastcall 约定(也即 msfastcall )把第一个(从左至右)不超过32比特的参数通过寄存器ECX/CX/CL传递,第二个不超过32比特的参数通过寄存器EDX/DX/DL,其他参数按照自右到左顺序压栈传递。

Borland fastcall
从左至右,传入三个参数至EAX, EDX和ECX中。剩下的参数推入栈,也是从左至右。 在32位编译器Embarcadero Delphi中,这是缺省调用约定,在编译器中以register形式为人知。 在i386上的某些版本Linux也使用了此约定。

[逆向工程]什么是花指令
曼岛_的博客
03-15 1531
逆向成长之路:什么是花指令
H3C CAS系列开篇之CAS认识
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-14 2144
基于信创需要,某项目中的VMware软件存求替代方案,尤其在VDI方面,寻求使用紫光集团旗下H3C的CAS云计算管理平台,又称CAS虚拟化解决方案/管理系统,H3C CAS是H3C公司面向数据中心自主研发的企业级虚拟化软件。CAS提供了强大的虚拟化功能和资源池管理能力,能有效整合数据中心IT基础设施资源,只需通过简单易用的管理界面轻松管理IT资源池和架构,助力数据中心从传统架构向云架构平滑演进。对硬件主机,CVM进行双击热备,两台服务器以主备模式运行CVM管理软件,通过虚拟IP来访问CAS管理平台。
hk源代码delphi的花指令
01-23
hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源delphi的花指令hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源代码hk源delphi的花指令
花指令
大宝(sodme)的专栏
02-16 5306
本文作者:sodme本文出处:http://blog.youkuaiyun.com/sodme声明:本文可以不经作者同意任意转载、复制、引用。但任何对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能很多人都听说过花指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关花指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是花指令?它的原理是什么?二、在什么地方使用花指
花指令收集
aichengluan3800的博客
11-15 199
1.伪装c++代码:push ebpmov ebp,esppush -1push 111111push 222222mov eax,fs:[0]push eaxmov fs:[0],esppop eaxmov fs:[0],eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxjmp 原入口地址********************************...
python体验_认识python_explainufu_python_
09-30
Python的设计哲学强调代码的可读性和简洁的语法,它采用了缩进来表示代码块,这与许多其他编程语言(如C++或Java)使用的花括号不同。Python支持多种编程范式,包括面向对象、命令式、函数式和过程式编程,使得它在...
【JavaSE入门 - 01】Java认识
Lee's Blog
06-04 985
跨平台性:Java的一大特点是“Write Once, Run Anywhere”(一次编写,到处运行)。Java程序在编译后不直接运行在操作系统上,而是在Java虚拟机(JVM)上运行,使得Java程序可以在不同的操作系统上运行,只要这些系统上安装了对应的JRE(Java Runtime Environment)。面向对象:Java是一种面向对象的编程语言,支持面向对象编程的特性,如封装、继承、多态等。简单易学:Java设计简洁,语法类似于C++,去除了复杂的特性,使得学者容易上手。安全性。
网页制作12-html,css,javascript认识のJavascipt脚本基础
最新发布
Ama_tor的博客
03-15 1183
/ 输出: the boy's age is 6。
对Git和gitee的认识
记录学习的历程
03-27 1195
目录P1、版本控制1、什么是版本控制2、 常见的版本控制工具3、 版本控制分类4、Git与SVN的主要区别P2、聊聊Git的历史P3、Git环境配置1、软件下载2、启动Git3、常用的Linux命令4、Git配置5、设置用户名与邮箱(用户标识,必要)P4、Git基本理论(重要)1、三个区域2、工作流程P5、Git项目搭建1、创建工作目录与常用指令2、本地仓库搭建3、克隆远程仓库P6、Git文件操作1、文件的四种状态2、查看文件状态3、忽略文件P7、使用码云P8、IDEA中集成GitP9、说明:GIT分支 狂
源码免杀-花指令
08-21
含源码,研究使用,大家在不读懂的情况下不要运行。{我们交流的是技术,展示的源代码和相关代码的目的只是为了说明技术的原理和使用。如果任何个人或组织利用本文档发布的技术进行破坏,应由其本人负责。
花指令添加器,自动添加花指令
08-02
不用你自己麻烦,自动添加花指令,很简单!
病毒的隐藏技术与花指令(计算机病毒)
04-18
这是曾经讲课用过的课件,关于隐藏技术与花指令讲的很详细,课件也很不错的。
花指令生成器,非常好用!
08-02
自动生成花指令,不用你自己去编!用过就知道!
一个简单的花指令伪装器--Delphi版木马彩衣
11-25 2335
附程序源码,有很多地方需要改进下载地址:http://forum.wrsky.com/viewthread.php?tid=2917&fpage=1{pe花指令加密,参考 fi7ke 的 PE花指令加密一文 Author:hnxyy QQ:19026695  2005.11.24说明:以VC++6的花指令为例说明//VC++6外衣 1OEPCODEFIVE: THEAD =($55, $8B, $
简单学习花指令
2303_79822944的博客
03-06 806
emit 0x01;_emit 0x00;_emit 0x00;_emit 0x00;push ebx;#将ebp的地址存放于eax​#该地址存放的值正好是函数返回值,#不过该地址并不固定,根据调试所得。#加26正好可以跳到下面的mov指令,该值也是调试计算所得​pop eax;pop ebx;pop eax;jmp eax;_emit 0xE8;_emit 0x03;_emit 0x00;
花指令总结
Captain_RB的博客
04-12 6664
花指令又称脏字节,英文为"junkcode",顾名思义,即在程序中加入的一些垃圾指令,其目的是在不妨碍原有程序执行的前提下,阻碍程序反编译,增加静态分析难度,隐匿不想被逆向分析的代码块,混淆代码,绕过特征识别。本文将常见的花指令进行归纳总结,作学习记录。
2022CTF培训(四)花指令&字符串混淆入门
sky123博客
11-28 3675
逆向工程中一个常用的技巧就是通过字符串来寻找核心代码,例如通过错误提示来找到判断的相关代码、通过提示语句找到相近的功能代码、通过日志输出找到相关的功能代码等等。可见字符串对于逆向人员是一个很重要的切入点。因此,保护方使用字符串混淆技术,对静态文件中的字符串进行加密,使得直接在文件中搜索字符串无法获得信息。当程序运行时再对字符串进行解密,恢复其的可读性。静态解密指的是对解密函数进行逆向,从而直接根据解密算法和加密内容进行恢复。好处有以下几点无需执行,避免环境配置、反调试等问题。
Java学者指南:平台无关性的魅力与JDK安装
"面向过程-Java认识" Java是一种由Sun Microsystems的James Gosling领导的团队于1991年设计的编程语言,最命名为橡树(Oak)。随着Internet的兴起,Java为了适应跨平台应用的需求,从面向消费类电子产品转型,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值