抗去除花指令(二)——有创意的花指令

最新推荐文章于 2025-03-15 09:56:32 发布

原创

最新推荐文章于 2025-03-15 09:56:32 发布 · 3.7k 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#api #测试

本文探讨了如何创建有创意的花指令以对抗反调试工具，特别是针对OD插件。介绍了互补条件跳转、随机值确定标志位以及利用API返回确定值等策略，这些方法通过伪装跳转结构和利用确定性条件来降低被检测的可能性。然而，随着检测技术的发展，这些技巧的效果可能会逐渐减弱。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、概述

“jmp/call/ret+垃圾数据”这样的花指令已经是相当“老掉牙”了，OD的插件对付它们基本是“秒杀”，所以本文想说点“有点创意”的花指令，至少能对付OD的插件。

二、创意的核心

[2.1]花指令因何被发现

“jmp/call/ret+垃圾数据”的方法之所以容易被检测，原因是“意图太明显”，具体说任何一种检测手段，都是基于以下两点：

①检测跳转结构的固定形态特征，当然这不是绝对的，如果检测机制没能预见到这种形态特征，此点可以忽略，本文后边会提到一些这样的情况。

②用可靠的方法直接证明，垃圾数据部分在任何情况下都不会被执行。应该说该点是对“不可执行花指令”的无敌检测手段，然而却难在“可靠”二字上，目前已知的实践，只是做到“可供参考”的程度。

[2.2]创意的

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yangbostar

关注关注

0
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

揭秘 Stable Diffusion：利用 AI 智能绘图功能，打造出具有创意性的平面设计作品——AI 作图神器 Stable Diffusion 有哪些强大功能？应用案例详解

AI天才研究院

06-12

3万+

在当今数字化时代，人工智能技术已经深入到我们的生活中的各个领域。其中，AI 智能绘图功能已经成为了许多设计师和创意工作者的必备工具。今天，我们将为大家揭秘一款备受关注的 AI 作图神器 Stable Diffusion，它具有哪些强大的功能和特点。Stable Diffusion 是一款基于开发的作图神器，具有许多强大的功能，包括：1.：Stable Diffusion 可以智能识别用户上传的图片，并自动调整图片质量和色彩，让图片更加清晰、饱满。

多模态大模型：技术原理与实战在LLM时代，对软件研发的更多思考————从软件 1.0 迈向软件 2.0 时代

AI天才研究院

06-29

1635

软件1.0 vs 软件2.0 - **软件1.0**：传统的软件开发方法，通过人工编写明确的**程序逻辑和规则**来实现功能。 - **软件2.0**：利用AI和机器学习技术，通过**训练模型来"学习"如何执行任务，而不是显式编程**。在这种范式下，软件的行为更多地**由数据和学习算法决定，而不是固定的规则。**

参与评论您还未登录，请先登录后发表或查看评论

160个Crackme028之对抗花指令

鬼手的博客

04-15

697

文章目录查壳分析程序分析算法对抗花指令校验过程校验结果查壳目标程序是用VC6写的，没有加壳，跟027是同一个作者，难度为一颗星分析程序首先根据错误提示可以看到跳转到这个地址的地方有很多，我们直接选择最前面那个地址，开始分析整个算法先随便输入一个序列号另外，这个程序如果有IDA的帮助会分析的更快分析算法我们找到算法开始处的地址，对应到IDA中，F5查看一下伪C代码，但是你会...

抗去除花指令(一)——花指令基础

蛛丝

02-18

7263

入门知识，高手勿读 一、概述 花指令是对抗反汇编的有效手段之一，正常代码添加了花指令之后，可以破坏静态反汇编的过程，使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加，进而使之不能理解程序的结构和算法，也就很难破解程序，从而达到病毒或软件保护的目的。 二、花指令分类 [2.1]可执行式花指令 顾名思义，可执行式花指令指的是能够正常运行的但又不改变原始程序逻辑性的一组无用指令。这类花指令有如下特点：①可以正

花指令详解

m0_51246873的博客

10-04

5631

逆向CTF花之令详解

逆向分析基础 --- 花指令实现及清除

最新发布

06-27

方案比选涉及对不同方案的创意、成本、工期、质量进行综合评估，从而提出最优的实施建议。这种做法不仅需要员工具备丰富的专业知识和经验，还需要他们具有高度的责任心和工作能力。在比选过程中，员工需要清晰地记录...

【逆向学习】花指令的去除

WangLal的博客

04-22

5989

03-16

01-13

呵呵自己在网上搜集的这个软件是在破解之前查出花指令 将他清除

花指令手动清除-保姆级教学【逆向系列】

shutTD的博客

02-29

2217

逆向系列

手动去除花指令

qq_43335618的博客

07-14

2936

花指令的作用 花指令是对抗反汇编的有效手段之一，正常代码添加了花指令之后，可以破坏静态反汇编的过程，使反汇编的结果出现错误，使ida和ollydbg等搜索不到字符串。错误的反汇编结果会造成破解者的分析工作大量增加，进而使之不能理解程序的结构和算法，也就很难破解程序，从而达到病毒或软件保护的目的。缺点：不能防止动态调试以以下代码为例： #include <iostream> int main() { _asm { xor eax,eax t

花指令，LLVM简介

kernweak的博客

05-23

1229

花指令就是无用或者垃圾指令，故意干扰反汇编静态分析工具，比如 jmp Label1 db opcode Label1; 运行会跳到Label1，但是静态分析工具看到opcode会把后面当作机器码的操作数。或者 jz Label jnz label db opcode label 反汇编引擎不够智能看到jz，jnz往下执行，所以错误。或者可以跳转到寄存器里。 OLLV...

[逆向工程]什么是花指令（十七）

曼岛_的博客

03-15

1645

逆向成长之路：什么是花指令

某程xxmain.so花指令去除记录

P1umH0的博客

10-22

1271

最近想要练习练习脚本去花，去混淆，解密字符串但是感觉自己加花/混淆出来的样本太简单了在龙哥星球看到xccccccc师傅发了一篇某程xxmain.so的去花和算法还原的文章记一次xxmain.so从去花到魔改算法还原so里的花指令强度还算可以，模式比较固定，非常适合练习xccccccc师傅文章里App版本是8.0.65，可以说是很老，笔者在豌豆荚也下不到，于是用的8.74.6版本好在目标方法仍被保留，其在so中的偏移是0xc2794。

re学习笔记（34）BUUCTF-re-[HDCTF2019]Maze 花指令去除

逆向随笔

02-03

3880

新手一枚，如有错误（不足）请指正，谢谢！！题目链接：[HDCTF2019]Maze 题目下载：点击下载 IDA载入可以看出这应该是关键代码的一部分。这里jnz跳转到了下一行代码，相当于没跳转而下面的call near ptr 0EC85D78Bh调用了一个不是地址的地址，可以推断出这段代码添加了花指令，IDA分析失败了。可以确定这个jnz指令是花指令，还有下面的call指令。先将j...

ollvm源码分析之指令替换（1）

qq_42308741的博客

03-09

1249

参考网站：Obfuscator-llvm源码分析 ollvm ollvm总体框架与llvm一致，如下图所示。其中IR(intermediate representation)是前端语言生成的中间代码表示，也是Pass操作的对象，它包括四部分： Module Function BasicBlock Instruction OLLVM有三个Pass以实现混淆，分别为Substitution、BogusControlFlow、flattening。它们位于Transforms/Obfuscation/目录

c语言花指令怎么去除,[原创]去除花指令的代码

weixin_30152861的博客

05-20

464

52008-10-3 05:46// A Test Simple#define WIN32_LEAN_AND_MEAN#include "windows.h"//找出花指令的位置并去掉花指令void FindFlowerCodeAndRemove2(LPVOID src, LPVOID flw, int nSrcLen,int nflwLen){__asm{xor eax,eaxpush esip...