[逆向工程]什么是花指令(十七)

已于 2025-05-08 10:29:43 修改
阅读量1.5k 收藏 12
点赞数 23
分类专栏: 逆向工程 文章标签: 密码学 安全
于 2025-03-15 09:56:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29709589/article/details/146274876
版权

花指令(Junk Code 或 Anti-Disassembly Code)是软件保护中常用的一种对抗逆向分析的技术,通过在代码中插入无效指令干扰性逻辑,扰乱反汇编工具(如IDA Pro、Ghidra)的解析流程,增加逆向工程师的分析难度。

一、花指令的核心原理

  1. 误导反汇编工具
    反汇编工具依赖指令的二进制序列进行解析,花指令通过插入非标准指令序列破坏指令对齐,导致工具错误解析后续代码。例如:

    jmp label1
db 0xE8            ; 插入一个字节的垃圾数据(E8是CALL指令的操作码)
label1:
    mov eax, 1    ; 真实代码

反汇编工具可能将 0xE8 错误解析为 CALL 指令,导致后续代码错位。

  1. 动态跳转干扰
    利用条件跳转(如jz/jnz)结合寄存器操作,使得静态分析无法确定真实执行路径:

    xor eax, eax
jz label2         ; 条件恒成立,跳转到label2
db 0x68, 0x00, 0x00, 0x00, 0x00  ; 垃圾指令(PUSH 0)
label2:
    mov ebx, 2    ; 真实代码

    静态反汇编工具可能错误解析垃圾指令,但实际运行时永远不会执行。

  2. 加密与自修改代码
    高级花指令会结合代码加密(运行时解密)或动态修改自身指令(Self-Modifying Code),进一步隐藏真实逻辑。

二、花指令的常见类型

  1. 无效跳转(Junk Jumps)
    插入永远不会执行的跳转指令(如jmp +1),并在跳转目标后填充垃圾数据。

  2. 指令碎片(Broken Instructions)
    故意截断完整指令,生成非法操作码:

    mov eax, 1
db 0xFF  ; 截断指令(0xFF是多种指令的前缀,如CALL、JMP)
add ebx, 2

  3. 多层嵌套跳转
    通过多级跳转(如jmp A → jmp B → jmp C)打乱代码流,干扰控制流分析。

  4. API调用混淆
    隐藏关键API调用,例如动态计算函数地址后调用:

    mov eax, [ebp+0x10]
call eax  ; 实际调用MessageBoxA,但静态分析无法直接识别

三、如何识别与对抗花指令

1. 静态分析对抗
  • 手动修复指令对齐
    在IDA Pro中按 Alt + K 调整指令起始地址,或使用 Undefine(U键)清除错误解析的指令。
  • 使用反反汇编插件
    IDA插件(如Keypatch、Obfuscator IDA Scripts)可辅助识别花指令模式。
  • 模式匹配
    通过常见花指令特征(如连续jmp、冗余nop)快速定位干扰代码。
2. 动态调试对抗
  • 动态执行跟踪
    使用调试器(x64dbg、OllyDbg)直接运行程序,观察真实执行的代码路径。
  • 内存断点
    在关键代码段解密后设置内存断点,捕获解密后的原始指令。
  • Hook技术
    使用Frida或Pin工具监控代码执行流,绕过静态干扰。
3. 自动化工具
  • 反混淆框架
    如Unicorn(模拟执行)、angr(符号执行)可自动化分析花指令逻辑。
  • 脚本化清理
    编写IDAPython脚本批量识别和删除垃圾指令(例如删除连续的nop或无效跳转)。

四、实际案例演示

案例:简单花指令破解

原始汇编代码(含花指令):

start:
    jmp real_code
    db 0xE8, 0x12, 0x34, 0x56, 0x78  ; 垃圾数据(模仿CALL指令)
real_code:
    mov eax, 1
    ret
  • 静态分析结果
    IDA可能将 0xE8 0x12 0x34 0x56 0x78 解析为 call 0x78563412,导致后续代码错乱。
  • 动态调试结果
    实际执行时,直接跳转到 real_code,忽略垃圾数据。

五、注意事项

  • 法律边界:花指令常见于商业软件保护,分析时需遵守法律协议。
  • 性能影响:过度使用花指令会降低程序运行效率。
  • 结合其他保护:现代保护方案(如虚拟化壳VMP、混淆器OLLVM)会混合使用花指令、加密和代码变形。

掌握花指令的原理和对抗方法,是逆向工程师突破软件保护的关键能力之一。

如果本教程帮助您解决了问题,请点赞❤️收藏⭐支持!欢迎在评论区留言交流技术细节!欲了解密码学知识,请订阅《密码学实战》专栏 → 密码学实战

花指令如何用c语言编写,逆向学习笔记之花指令
weixin_39880301的博客
05-23 1197
概念花指令是企图隐藏掉不想被逆向工程的代码块(或其它功能)的一种方法,在真实代码中插入一些垃圾代码的同时还保证原有程序的正确执行,而程序无法很好地反编译, 难以理解程序内容,达到混淆视听的效果。简单的说就是在代码中混入一些垃圾数据阻碍你的静态分析。花指令分类花指令大致可以分为可执行花指令和不可执行花指令两类:可执行花指令可执行花指令指的是这部分花指令代码在程序的正常执行过程中会被执行但执行这些代码...
CTF逆向工程简单介绍以及解题通用思路入门
yahuheihei的博客
12-10 1813
快速了解逆向工程,通用解题思路大纲,你值得拥有!
190321 逆向-花指令去除(脚本)
热门推荐
whklhhhh的博客
03-22 3万+
Pizza的脚本中是通过get_bytes和patch_bytes两个API来将所有机器码读出然后再Patch回去的 中间匹配pattern的过程是构造字符串然后find来控制 这样操作的优点是find的效率奇高,对于大量数据的处理非常的快 而我们之前使用的逐字符匹配pattern的优点是可控性比较强,例如通配符的存在 然而缺点就是速度很慢,对于数量级较大时格外明显,因此试图修复 刚开始以为速度...
花指令收集
aichengluan3800的博客
11-15 205
1.伪装c++代码:push ebpmov ebp,esppush -1push 111111push 222222mov eax,fs:[0]push eaxmov fs:[0],esppop eaxmov fs:[0],eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxjmp 原入口地址********************************...
逆向-花指令
xiaozhi
06-29 937
逆向-花指令
抗去除花指令()——花指令基础
lixiangminghate的专栏
01-04 3042
转自 http://blog.youkuaiyun.com/yangbostar/article/details/6194133 入门知识,高手勿读 一、 概述 花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的
花指令
weixin_33939843的博客
12-26 349
完全花指令免杀学习花指令,简称“花”,意思是像花儿一样的指令。花儿是干什么的呢?当然是吸引你去观赏的,就是让你(也包括杀软)只顾去观赏美丽“花朵”,而忘记或者忽略了“花朵”后面的“果实”。简单说来,花指令就是一些看似杂乱实则另有目的的汇编指令,能够让汇编语句进行一些跳转,使得杀毒软件不能正常的判断病毒文件的构造。说的更俗就是一段垃圾代码,和一些乱跳转。但是这并不影响程序的运...
iOS逆向工程之Hopper中的ARM指令详解
09-01
iOS逆向工程是针对iOS应用程序进行分析和调试的技术,其中Hopper是一款强大的反汇编工具,尤其在处理ARM指令集方面表现出色。ARM指令集是用于控制ARM架构处理器的指令集合,广泛应用于移动设备,包括iOS和Android...
re-for-beginners 逆向工程入门指南
04-29
逆向工程,简称RE,是计算机科学领域的一个重要分支,主要涉及对软件、硬件或系统进行分析,以了解其内部工作原理。这个过程通常用于安全研究、漏洞挖掘、软件调试和代码理解等目的。"re-for-beginners"是一个专为...
逆向工程英文版
09-07
作者详细讲解了CPU的工作原理,包括不同处理器架构的寄存器和指令集如何运行,这些是进行逆向工程时不可或缺的知识。通过这些基础知识的学习,读者能够理解在逆向分析时常见的代码模式和操作。 逆向工程的技术层面...
CTF逆向Reverse 花指令介绍 and NSSCTF靶场入门题目复现
Sciurdae的博客
10-10 5121
/(ㄒoㄒ)/~~花指令又名垃圾代码、脏字节,英文名是junk code。花指令就是在不影响程序运行的情况下,往真实代码中插入一些垃圾代码,从而影响反汇编器的正常运行;或是起到干扰逆向分析人员的静态分析,增加分析难度和分析时间。有句话,花指令的目的是阻挠逆向人员的分析,并不是阻止。
CTF逆向基础----花指令总结
一位非著名不专业的Re选手
03-13 1万+
什么是花指令? 花指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,花指令被作为一种手段来增加静态分析的难度,花指令也可以被用在病毒或木马上,通过加入花指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的花指令的形式,花指令一般被分为两类,被执行的和不会被执行的。 不会被执行的花指令 花指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类花指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
逆向分析基础 --- 花指令实现及清除
abelxu
06-15 1万+
一、基本概念 花指令:目的是干扰ida和od等软件对程序的静态分析。使这些软件无法正常反汇编出原始代码。 常用的两类反汇编算法: 1.线性扫描算法:逐行反汇编(无法将数据和内容进行区分) 2.递归行进算法:按照代码可能的执行顺序进行反汇编程序。 简单的花指令 0xe8是跳转指令,可以对线性扫描算法进行干扰,但是递归扫描算法可以正常分析。 两个跳转一个指向无效数据,一个指向正常数据来干扰递归扫描算法。 二、花指令实现 这里的实验基础代码是参考安全客上一个师傅代码进行的 //源码 #include<s
花指令入门
最新发布
2403_88130183的博客
12-26 502
2.永恒跳转类型(通过对寄存器的精通使用,就可以使用对应的跳转指令来构造永恒跳转;这些花指令,都是入门级别的,要熟练的掌握,最好能做到,在做题时能一眼发现它是花指令,然后就简单的nop指令就能 去除然后就行了。这个是一个ida idc程序,如果你知道了起始地址与终止地址就可以轻松将花指令给nop掉。这一类的花指令,单靠记忆是无法直接解决的,需要我们进行做题积累经验,从而自己解决问题。花指令就是类似的垃圾指令,让我们的ida无法进行正常的反编译。二.进阶的花指令(这个就是以上三种指令的用相同的程序进行代换)
逆向-修复花指令得到源代码
qq_45313512的博客
11-22 332
花指令是用来对抗静态反汇编的,通过插入无用的字节使ida无法正确反编译,但不影响函数执行。因为0x1208地址是无用的指令,所以需要给它nop掉,通过Keypatch插件将该行修改为nop,发现显示为db 90h,这时候右键让ida再分析一下就变成了nop指令了。地址0x1208是我们不需要的,而0x1209才是函数的正确地址,因此选中db 0F3h,右键->Analyze selected area,是让ida识别成指令。f5打开反编译窗口,如果伪代码没有变化,说明ida有缓存,再按f5刷新一下即可。
【逆向学习】花指令的去除
WangLal的博客
04-22 5700
逆向花指令
花指令原理花指令的分析方法
WdIg-2023的博客
07-03 1282
在我们逆向分析的过程中,经常会受到花指令的干扰,今天我就来带领大家了解了解花指令
花指令总结
Captain_RB的博客
04-12 6748
花指令又称脏字节,英文为"junkcode",顾名思义,即在程序中加入的一些垃圾指令,其目的是在不妨碍原有程序执行的前提下,阻碍程序反编译,增加静态分析难度,隐匿不想被逆向分析的代码块,混淆代码,绕过特征识别。本文将常见的花指令进行归纳总结,作学习记录。
iOS逆向工程:Hopper中的ARM指令解析
"iOS逆向工程之Hopper中的ARM指令详解" 在iOS逆向工程中,Hopper是一款重要的静态分析工具,它允许开发者查看并分析应用程序的底层代码,特别是ARM架构的指令。ARM(Advanced RISC Machines)指令集是广泛应用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曼岛_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值