[原创]一个OD插件/花指令（附件重新上传了）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]一个OD插件/花指令（附件重新上传了）

2005-2-23 14:33 16544

[原创]一个OD插件/花指令（附件重新上传了）

lenglx

2005-2-23 14:33

16544

我新学脱壳,每当我碰到壳中的花指令时,头痛不已.
我也看到工具区有动态去除花指令的OD插件,但不甚合我意.原因有2:

1 我经常碰到象
$: JMP $+6
$+5: DB ? ;也许1个,也许2个无用的字节
$+6: PUSH ESI ;真正的指令
这样的指令序列,我总不能定义一个好的配置,去除这样的花指令.因为也许正常的指令序列也许象这样.

2 就算真的你去除了这些花指令(即使你没有意外的NOP掉任何一个正常的指令),我们知道很多壳要利用这些垃圾(花指令)
做CRC校验的,一但更改了这些指令,恐怕你所调试的程序就无疾而终了.

我的意思是:当我只需要仔细观察某段汇编指令(比如我需要研究它的算法),我需要把这些花指令去掉.
当我观察完这些代码,我就把这些指令还原,以避开CRC陷阱.

基于以上,我做了个小插件.

以下是应用示例:

我有一段代码,看 00955302 的指令,跳转到 0095530F 的中间,所以我用这个插件去除花指令.
00955302 /E9 09000000    JMP    00955310
00955307 |5D             POP    EBP                            ; NOTEPADy.00400000
00955308 |D2A3 A0591EFF SHL    BYTE PTR [EBX+FF1E59A0], CL
0095530E |CC             INT3
0095530F |15 668BF3FF    ADC    EAX, FFF38B66 ;跳转到一条指令的中间
00955314 34 0F          XOR    AL, 0F

代码变成如下,好看多了 :)
00955302 /E9 09000000    JMP    00955310
00955307 |5D             POP    EBP                            ; NOTEPADy.00400000
00955308 |D2A3 A0591EFF SHL    BYTE PTR [EBX+FF1E59A0], CL
0095530E |CC             INT3
0095530F |90             NOP
00955310 \66:8BF3       MOV    SI, BX
00955313 FF340F       PUSH DWORD PTR [EDI+ECX]

好了,还原.
00955302 /E9 09000000    JMP    00955310
00955307 |5D             POP    EBP                            ; NOTEPADy.00400000
00955308 |D2A3 A0591EFF SHL    BYTE PTR [EBX+FF1E59A0], CL
0095530E |CC             INT3
0095530F |15 668BF3FF    ADC    EAX, FFF38B66 ;跳转到一条指令的中间
00955314 34 0F          XOR    AL, 0F

可以继续执行了.

使用:
1 将AJUNK.DLL拷贝到OD的插件目录.
2 在我们要NOP掉的指令处,右键弹出菜单,选择要NOP掉的字节数量.(快捷键 1-6)
3 恢复.(快捷键 9 取消一次操作, 0 恢复所有的指令)

本来,我想在 JMP XXXXX 的指令处,就可以直接找到花指令的所在,自动去除的.但我刚学用OD,对OD还很陌生,
所以只有用你自己的脑袋来判断了.

我纯粹菜鸟一个,写这个东西只是好玩.如有遗笑方家的地方,还望各位包含.
也希望各位老大帮助我们这些 newbie, 不胜感谢.

以下是插件的DLL和源码.
因为OD提供的输入库是C的,我使用的是VC++6,所以对plugins.h做了点修改,所有的引入,引出函数前都+了个下划线.

又：POSTPOST http://bbs.pediy.com/editpost.php HTTP/1.0
个插件有点意思，请emai to : lenglianxi@tom.com, 我会将DLL和源码一并寄给你。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・8

点赞・7

打赏

最新回复 (30) 1 2 ▶
yijun8354 雪币： 1761 活跃值： (746) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 783 粉丝 1 关注私信	yijun8354 12 2005-2-23 15:48 2 楼 0 支持一下，希望能写出更多和我们分享~~~~
kanxue 雪币： 32406 活跃值： (18820) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2005-2-23 16:24 3 楼 0 暂时给这帖加了个精，你现在有上传附件的权限了，这么好的东西放上来与大家分享一下。;)
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 21 回帖 617 粉丝 1 关注私信	WiNrOOt 5 2005-2-23 17:35 4 楼 0 最初由 kanxue 发布暂时给你加了个精，你现在有上传附件的权限了，还么好的东西放上来与大家分享一下。;) 看雪的中文还需要提高呀~~~哎~~~~~~~~~~~~~~~~~~~~~
linhanshi 雪币： 85402 活跃值： (198710) 能力值： (RANK：10 ) 在线值：发帖 8999 回帖 25617 粉丝 424 关注私信	linhanshi 2005-2-23 20:01 5 楼 0 Authorship.I support.
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2005-2-24 00:13 6 楼 0 9494,还是传上来，方便大家交流支持一下，希望能继续完善这个插件（另有没有delphi的插件原码)
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-2-24 08:34 7 楼 0 就是，放上来吧，看雪老大都给你权限了~
采臣·宁雪币： 78 活跃值： (115) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1342 粉丝 6 关注私信	采臣·宁 1 2005-2-24 09:03 8 楼 0 好贴正如美女，是要顶弟，我顶
lenglx 雪币： 207 能力值： (RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	lenglx 1 2005-2-24 09:20 9 楼 0 谢谢各位个关心。以下是附件，包括DLL和VC原码。附件:AJunk.rar
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-2-24 09:33 10 楼 0 thank BTW:AJunk.dll解压失败，用源码编译了一下
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2005-2-24 09:50 11 楼 0 重发一下吧，我没有VC啊
lenglx 雪币： 207 能力值： (RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	lenglx 1 2005-2-24 19:04 12 楼 0 今天很闲。我重新修改了程序。现在可以在JMP指令上按快捷键 7 ，自动找出花指令。另外对原来处理备份数据的部分，重新编码过了。再次谢谢大家的关心。附件:AJunk.rar
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 2005-2-24 19:07 13 楼 0 楼主辛苦了，3KS！
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-2-24 21:07 14 楼 0 支持一下。如今高手越来越多。
freecat 雪币： 201 活跃值： (1659) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 159 粉丝 5 关注私信	freecat 1 2005-2-24 21:54 15 楼 0 和 OllyUni Plugin for OllyDbg 有冲突不能一起用
stan52 雪币： 11201 活跃值： (3069) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 254 粉丝 0 关注私信	stan52 2005-2-24 23:14 16 楼 0 支持谢谢提供!
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-2-25 08:41 17 楼 0 多谢楼主，看看先。
lenglx 雪币： 207 能力值： (RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	lenglx 1 2005-2-25 10:35 18 楼 0 最初由 freecat 发布和 OllyUni Plugin for OllyDbg 有冲突不能一起用我没用过你说过的这个插件。能提供个下载地址？ thx.
dyk158 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 200 粉丝 1 关注私信	dyk158 2005-2-25 12:04 19 楼 0 不错!谢谢楼主!
freecat 雪币： 201 活跃值： (1659) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 159 粉丝 5 关注私信	freecat 1 2005-2-25 14:52 20 楼 0 哈我上传不了附件你在网上找找吧
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2005-2-28 14:01 21 楼 0 支持一下。如今高手越来越多,这是我认为最好的去花插件！！！！！！！！！！！
bridgewind 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	bridgewind 2005-3-6 15:49 22 楼 0 不错!谢谢楼主!
kingjia 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 133 粉丝 0 关注私信	kingjia 2005-3-6 21:42 23 楼 0 厉害
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 2005-3-7 01:58 24 楼 0 楼主辛苦了!
sunlight 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sunlight 2005-3-28 09:49 25 楼 0 支持一下。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

lenglx

发帖

回帖

RANK

关注

私信

他的文章

[原创]一个OD插件/花指令（附件重新上传了）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
yijun8354 雪币： 1761 活跃值： (746) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 783 粉丝 1 关注私信	yijun8354 12 2005-2-23 15:48 2 楼 0 支持一下，希望能写出更多和我们分享~~~~
kanxue 雪币： 32406 活跃值： (18820) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2005-2-23 16:24 3 楼 0 暂时给这帖加了个精，你现在有上传附件的权限了，这么好的东西放上来与大家分享一下。;)
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 21 回帖 617 粉丝 1 关注私信	WiNrOOt 5 2005-2-23 17:35 4 楼 0 最初由 kanxue 发布暂时给你加了个精，你现在有上传附件的权限了，还么好的东西放上来与大家分享一下。;) 看雪的中文还需要提高呀~~~哎~~~~~~~~~~~~~~~~~~~~~
linhanshi 雪币： 85402 活跃值： (198710) 能力值： (RANK：10 ) 在线值：发帖 8999 回帖 25617 粉丝 424 关注私信	linhanshi 2005-2-23 20:01 5 楼 0 Authorship.I support.
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2005-2-24 00:13 6 楼 0 9494,还是传上来，方便大家交流支持一下，希望能继续完善这个插件（另有没有delphi的插件原码)
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-2-24 08:34 7 楼 0 就是，放上来吧，看雪老大都给你权限了~
采臣·宁雪币： 78 活跃值： (115) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1342 粉丝 6 关注私信	采臣·宁 1 2005-2-24 09:03 8 楼 0 好贴正如美女，是要顶弟，我顶
lenglx 雪币： 207 能力值： (RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	lenglx 1 2005-2-24 09:20 9 楼 0 谢谢各位个关心。以下是附件，包括DLL和VC原码。附件:AJunk.rar
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-2-24 09:33 10 楼 0 thank BTW:AJunk.dll解压失败，用源码编译了一下
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2005-2-24 09:50 11 楼 0 重发一下吧，我没有VC啊
lenglx 雪币： 207 能力值： (RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	lenglx 1 2005-2-24 19:04 12 楼 0 今天很闲。我重新修改了程序。现在可以在JMP指令上按快捷键 7 ，自动找出花指令。另外对原来处理备份数据的部分，重新编码过了。再次谢谢大家的关心。附件:AJunk.rar
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 2005-2-24 19:07 13 楼 0 楼主辛苦了，3KS！
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2005-2-24 21:07 14 楼 0 支持一下。如今高手越来越多。
freecat 雪币： 201 活跃值： (1659) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 159 粉丝 5 关注私信	freecat 1 2005-2-24 21:54 15 楼 0 和 OllyUni Plugin for OllyDbg 有冲突不能一起用
stan52 雪币： 11201 活跃值： (3069) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 254 粉丝 0 关注私信	stan52 2005-2-24 23:14 16 楼 0 支持谢谢提供!
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-2-25 08:41 17 楼 0 多谢楼主，看看先。
lenglx 雪币： 207 能力值： (RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	lenglx 1 2005-2-25 10:35 18 楼 0 最初由 freecat 发布和 OllyUni Plugin for OllyDbg 有冲突不能一起用我没用过你说过的这个插件。能提供个下载地址？ thx.
dyk158 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 200 粉丝 1 关注私信	dyk158 2005-2-25 12:04 19 楼 0 不错!谢谢楼主!
freecat 雪币： 201 活跃值： (1659) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 159 粉丝 5 关注私信	freecat 1 2005-2-25 14:52 20 楼 0 哈我上传不了附件你在网上找找吧
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2005-2-28 14:01 21 楼 0 支持一下。如今高手越来越多,这是我认为最好的去花插件！！！！！！！！！！！
bridgewind 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	bridgewind 2005-3-6 15:49 22 楼 0 不错!谢谢楼主!
kingjia 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 133 粉丝 0 关注私信	kingjia 2005-3-6 21:42 23 楼 0 厉害
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 2005-3-7 01:58 24 楼 0 楼主辛苦了!
sunlight 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sunlight 2005-3-28 09:49 25 楼 0 支持一下。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复