180304 逆向-抵御静态分析(3)

最新推荐文章于 2023-08-01 10:14:34 发布
最新推荐文章于 2023-08-01 10:14:34 发布
阅读量295 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/whklhhhh/article/details/79656007
本文探讨了软件保护中的信息隐藏与多态变形技术,介绍了如何通过加密字符串及代码变形来提高软件的抗逆向分析能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1625-5 王子昂 总结《2018年3月4日》 【连续第519天总结】
A. 抵御静态分析(3)
B.

信息隐藏

为了提高界面的友好度,大多数软件都会在大量地方显示提示语。
而这些提示语由于特殊性和特征明显,经常被作为静态分析的突破口。(例如IDA的Shift+F12,OD的智能搜索字符串233)
破解者循着破解点的字符串即可直接找到破解点的代码,进行操作。

为了防范这一点,许多加壳、混淆工具会自动加密所有字符串。
在编写的时候,也可以自行进行加密字符串。
即使是简单的ascii+1,也可以使得字符串变得完全不可读
更复杂的可以使用一些函数来处理,使每个字符串都不尽相同,增加破解时的复杂度

多态变形技术

多态技术往往意味着它会把核心代码进行编码,然后生成一个复杂的解码器,在运行的时候对其解码。
变形则是把一段代码重新编码,虽然仍然使用x86指令集,但是例如”add eax, 5”可能会被换成等价的5个”inc eax”,并且可以用jmp打乱代码的顺序。
诸如此类的变换使代码迅速膨胀,因此注重小体积的病毒并不过多地用变形,而在壳中可以不去关心体积。Themida壳保护一个几KB的小文件会膨胀到将近2MB。
尽量地将代码变形,可以很好地干扰分析人员。

变形引擎编写较为困难,因为它需要一个反汇编引擎,还要能对代码块进行分析。

要想还原变形,就必须写一个相应的收缩程序(Shrinker),这也同样需要一个反汇编引擎。
在代码中插入的数据一致是所有反汇编引擎头疼的东西,即使是IDA也没有把握区分出谁是数据谁是代码。

变形引擎主要来自病毒,VX Heaven(http://vx.netlux.org)上有非常多的病毒资料,几乎所有的病毒引擎都可以下载。

C. 明日计划
文件完整性校验

33、对抗静态和动态逆向工程的代码混淆技术
ol789012345的博客
07-26 257
本文提出了一种新颖的代码混淆技术,旨在同时对抗静态和动态逆向工程。通过将代码分割为小工具,并利用分支函数和签名机制模糊控制流,同时结合输入依赖的多样化路径,显著增加了逆向分析的难度和成本。该方法在合理性能开销范围内提升了软件安全性,为软件开发者提供了有效的保护手段。
190328 逆向-浅谈反调试
热门推荐
whklhhhh的博客
03-29 3万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
病毒分析教程第三话--静态逆向分析(下)
安全杂货铺
07-17 1215
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集中在三个红框中的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
加密与解密——抵御静态分析
40KO的博客
01-23 624
抵御静态分析本质上就是降低反汇编代码的可读性,不过这种保护方式通常只是起到了扰乱作用,如果只是单独使用其中一种,那就只是纸老虎而已,理论上通过动态分析的方法,可以完全无视这样的保护,所以这些保护技术需要和其他保护技术相互配合才能达到良好的效果。   花指令 数据与代码的区分是反汇编中的一个关键问题,花指令就是向代码中添加一些无用的数据和代码,使得反汇编器的反汇编结果出现局部不正确的情况,或者...
180302 逆向-抵御静态分析(1)
whklhhhh的博客
03-22 517
1625-5 王子昂 总结《2018年3月2日》 【连续第517天总结】 A. 抵御静态分析(1) B. 静态分析逆向工程中常用的手段。 因此抵御静态分析也是一个很值得深入的话题。 花指令 在反汇编的过程中,存在着几个关键的问题。 其中之一就是数据与代码的区分问题。 汇编指令长度、多种多样的间接跳转实现形式,反汇编算法必须对这些情况作出恰当的处理,保证反汇编结果的正确性。 ...
病毒分析教程第三话--静态逆向分析(上)
安全杂货铺
07-16 1621
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析。分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
静态分析全解析:助力高质量软件开发,降低成本风险
weixin_49715102的博客
08-01 340
静态分析是一种无需执行程序,通过自动检查源代码来完成的调试方法。这让开发人员能够对他们的代码库了如指掌,并有助于确保代码库合规、安全、可靠。
180303 逆向-抵御静态分析(2)
whklhhhh的博客
03-22 336
1625-5 王子昂 总结《2018年33日》 【连续第518天总结】 A. 抵御静态分析(2) B. SMC技术 SMC(Self-Modifying Code),即自修改代码 34c3ctf的re1就是使用这项技术的题目,结合随机数使其静态分析看起来很迷惑。相当有意思的题目 SMC技术是事先将代码进行加密,存放在程序中。然后程序运行时对其解密,使其成为可执行的代码后...
基于密码学技术的软件加密与逆向防护设计-可实现的-有问题请联系博主,博主会第一时间回复!!!
最新发布
12-11
该方案旨在通过提供多级安全策略,增强程序抵御恶意分析和破解的能力。 其他说明:该文章不仅提出了理论概念,还展示了实际的应用案例和技术实现细节,对于理解和实施先进的软件保护技术有着重要的指导意义。 -可...
干货!一文了解安卓APP逆向分析与保护机制
01-27
安卓APP的逆向分析与保护机制是移动应用开发中至关重要的一环,因为Java代码的可读性和可反编译性,使得应用的安全性面临严峻挑战。...随着逆向分析工具的进步,保护技术也需要持续更新以抵御新的攻击手段。
改进的控制流混淆技术:抵抗静态分析的代码保护策略
关键词:控制混淆,代码混淆,代码篡改,逆向工程,静态分析 总结起来,这篇研究论文详细讨论了如何通过改进控制流混淆技术来提高代码的安全性,同时减少因混淆而引入的额外运行成本。这种技术对于软件开发者和安全...
Android加固应用脱壳技术研究:自动化系统与逆向分析挑战
作者指出,加固应用通常采用进程状态检测和内存保护技术来隐藏其真实结构,这使得常规的静态分析和动态分析手段难以穿透其外壳。 针对这一问题,论文提出了一种结合Hook技术和字节码还原技术的自动化脱壳系统。Hook...
发布程序加密防破解
weixin_30394333的博客
06-20 500
发布程序前一定要做加密,不然会被破的体无完肤。推荐几款加密产品。 Virbox Protector Standalone加壳工具 效果:代码加密,防止静态反编译 加密技术:代码混淆/虚拟化/代码加密/智能压缩/ 使用体验:提供demo版和正式版,加密操作简单,直接对dll或者exe加壳保护。对java的jar包/class文件、python的pyc文件等也有加密方案。新版本支持批量加壳。...
浅谈逆向——静态分析简介(静态分析1)
qq_38684512的博客
01-28 1571
浅谈逆向-IDA简介IDA PROIDA反汇编选项配置IDA界面简介交叉参考参考重命名标签创建函数 IDA PRO IDA是按照区块装载PE文件的。 .text | 代码块 .data | 数据块 .rsrc | 资源块 .idata | 输入表 .cdata | 输出表 IDA反汇编选项配置 Option->General(选项->常规) 左侧从上至下...
190319 逆向-花指令
whklhhhh的博客
03-20 5017
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
180517 逆向-反控制流平坦化(符号执行脚本)
whklhhhh的博客
05-17 4901
控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2227
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1968
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
180306 逆向-反调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1902
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 反调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值