本文探讨了在逆向工程中如何将特定指令替换为NOP指令,以阻止程序以root权限运行。作者通过对比32位和64位环境下NOP指令的不同实现,分享了一种结合使用Hopper和IDA的方法。
逆向一程序,发现程序被setuid(0),setgid(0)从而导致程序以root方式运行了(具体可以在iosre中搜索查看),因此我就想把这条指令NOP掉。
网上查了些方法,比如:
1、 00 00 A0 E1 NOP
我试了下,在32位,即ARM7 似乎是 mov r0 r0 (两个星期前尝试的了,记得不是很清了。)好吧,这也能实现效果。但在64位下,就变成乱码了,IDA中全变了。
2、用hopper和ida结合来改
在ida里只能直接改十六进制;在hopper里可以直接修改指令-nop,但只能生成另一个可执行文件。
因此,我用hopper直接修改成nop,再分别生成32位和64位可执行文件,然后用ida从这两个文件中查看具体十六进制,最后再用32位和64位ida分别修改fat文件,改成nop对应的十六进制。
发现32位和64位的nop对应的十六进制不同,32位下nop占两个字节,00 BF。64位下nop占4个字节,1F 20 03 D5。这个是为啥呢?
我这个方法是否很蠢?有懂的高手指点下,感激不禁。
扫一扫
2141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
