[原创] 发点好玩的东西，但是没源码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创] 发点好玩的东西，但是没源码

2023-4-22 17:21 16104

[原创] 发点好玩的东西，但是没源码

hzqst

2023-4-22 17:21

16104

struct struobf_test
{
	int a1;
	float a2;
	UINT64 a3;
	int a4;
	int a5;
	int a6;
}OBF_STRUCT;

class CTestClass : public ITestClass
{
public:
	CTestClass()
	{
		DbgPrintEx(DPFLTR_DEFAULT_ID, DPFLTR_ERROR_LEVEL, "ctor\n");
	}

	virtual ~CTestClass() override
	{
		DbgPrintEx(DPFLTR_DEFAULT_ID, DPFLTR_ERROR_LEVEL, "dtor\n");
	}

	virtual void testfn() override;

private:
	struct struobf_test test;
};

void CTestClass::testfn()
{
	test.a4 = 666;
	DbgPrintEx(DPFLTR_DEFAULT_ID, DPFLTR_ERROR_LEVEL, "testfn4, a1=%d, a2=%f, a3=%p, a4=%d, offset_a1=%d, offset_a2=%d, offset_a3=%d, offset_a4=%d\n", 
		test.a1, test.a2, test.a3, test.a4, offsetof(struobf_test, a1), offsetof(struobf_test, a2), offsetof(struobf_test, a3), offsetof(struobf_test, a4));
}

//第一次编译

//第二次编译

优点：不用生成中间文件

缺点：暂时没发现

听说某常年网吧热度第一的游戏很久以前就在用了

感谢某大佬的大力兹磁

实现比较丑陋，这里就不发出来了

//2023-04-23 更新

class CTestClass : public ITestClass
{
public:
	CTestClass()
	{
		DbgPrintEx(DPFLTR_DEFAULT_ID, DPFLTR_ERROR_LEVEL, "ctor\n");
	}
	~CTestClass()
	{
		DbgPrintEx(DPFLTR_DEFAULT_ID, DPFLTR_ERROR_LEVEL, "dtor\n");
	}

	virtual void testfn1() override;
	virtual void testfn2() override;
	virtual void testfn3() override;
	virtual void testfn4() override;

private:
	struct struobf_test test;
};

extern "C" NTSTATUS NTAPI DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryString) OBF_FUNCTION
{
	UNREFERENCED_PARAMETER(RegistryString);

	ITestClass *ptest = new CTestClass;

	ptest->testfn1();
	ptest->testfn2();
	ptest->testfn3();
	ptest->testfn4();

	delete ptest;

	return STATUS_SUCCESS;
}

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

最后于 2023-4-23 18:06 被hzqst编辑，原因：

#软件保护

收藏・14

点赞・4

打赏

最新回复 (21)
maxwudi 雪币： 2448 活跃值： (1575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	maxwudi 2023-4-22 18:25 2 楼 0 前排瓜子板凳
lononan 雪币： 9550 活跃值： (4458) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 223 粉丝 38 关注私信	lononan 2023-4-22 22:22 3 楼 0 牛逼哦,打乱起构体
jzwooioi 雪币： 10 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jzwooioi 2023-4-22 22:30 4 楼 0 6
天月雪币： 2338 活跃值： (1643) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	天月 2023-4-23 07:59 5 楼 0 大表哥！
LexSafe 雪币： 2251 活跃值： (2148) 能力值： ( LV5，RANK：60 ) 在线值：发帖 0 回帖 129 粉丝 5 关注私信	LexSafe 2023-4-23 08:36 6 楼 0 哈哈你也玩原神啊
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2023-4-23 09:18 7 楼 0 LexSafe 哈哈你也玩原神啊[em_43] 不应该是lol吗
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2023-4-23 09:44 8 楼 0 最后于 2023-4-23 09:44 被hzqst编辑，原因：
wx_man_611 雪币： 59 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	wx_man_611 2023-4-23 10:12 9 楼 0 不懂，求问原理是啥，为啥编译的不一样了？
hatling 雪币： 227 活跃值： (418) 能力值： ( LV10，RANK：170 ) 在线值：发帖 45 回帖 218 粉丝 5 关注私信	hatling 3 2023-4-23 13:28 10 楼 1 用gcc ，加个这个宏就行了 /* This anon struct can add padding, so only enable it under randstruct. */ #define randomized_struct_fields_start struct { #define randomized_struct_fields_end } __randomize_layout; #endif
pysafe 雪币： 307 活跃值： (4089) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 11 关注私信	pysafe 2023-4-23 18:13 11 楼 0
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2023-4-23 20:42 12 楼 0 hatling 用gcc ，加个这个宏就行了 /* This anon struct can add padding, so only enable it under randstruct. */ #define ... 大哥牛逼，查了下居然clang12开始原生支持了
Mxixihaha 雪币： 3733 活跃值： (3743) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 591 粉丝 17 关注私信	Mxixihaha 2023-4-24 14:14 13 楼 0 这还不如定义几个常量直接. 比如 #define X 10 在结构体中穿插 unsigned char xxx[X]; 这样结构体就被分开了,起码比这个对齐式的穿插要随机间隔大得多.
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2023-4-24 14:21 14 楼 0 黄狗v5
Istaroth 雪币： 481 活跃值： (1736) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 19 粉丝 7 关注私信	Istaroth 2023-4-24 15:02 15 楼 0 . 最后于 2023-10-21 21:49 被Istaroth编辑，原因：
mudebug 雪币： 8094 活跃值： (5280) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2023-4-24 15:24 16 楼 0
黑洛雪币： 6124 活跃值： (4121) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2023-4-27 06:57 17 楼 1 学微软弄个几百个成员的大结构，打乱都可以打乱。
milke 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	milke 2023-5-26 17:31 18 楼 0 llvm是个好东西
milke 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	milke 2023-5-26 17:32 19 楼 0 可以尝试编译时随机增加pad，更有迷惑性
我叫莫妮卡雪币： 72 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	我叫莫妮卡 2023-11-13 11:42 20 楼 0 黄狗是我偶像
bambooqj 雪币： 777 活跃值： (1066) 能力值： ( LV5，RANK：78 ) 在线值：发帖 31 回帖 348 粉丝 36 关注私信	bambooqj 2023-11-13 14:29 21 楼 0 黄狗是我偶像
caolinkai 雪币： 3710 活跃值： (3924) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 815 粉丝 1 关注私信	caolinkai 2024-4-15 20:32 22 楼 0 感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复