一个代码混淆器的思路-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2 楼首先，反汇编PE的.text节，结合重定向表的数据，分析获得指令之间的跳转、调用等引用关系。实现这个，就很牛B了 2011-2-7 21:14 0
zenix 雪币： 2393 活跃值： (1387) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 3 楼加入大量奇怪的代码。例如： Push Edx 变形为.... push ebx mov ebx,esp push ebp mov ebp,00000004 add ebx,ebp pop ebp sub ebx,00000004 xchg ebx,[esp] <- here pop esp mov [esp],edx 2011-2-8 00:45 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 4 楼把数学学好，思路就出来了。 2011-2-8 03:14 0
wjwmz 雪币： 43 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	wjwmz 5 楼为什么啊？这个是代码混淆。主要跟数据结构有关系。跟数学的关系不大吧～ 2011-2-8 15:10 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 6 楼看了不少这方面的论文，我觉得数学还是很重要的，作为一个代码混淆引擎，要想留下较少的特征规律，算法上的研究还是很重要的，这方面数学的助力还是很大的。 2011-2-9 10:22 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 7 楼如果有自修改或者花指令怎样绕过？ 2011-2-9 10:41 0
wjwmz 雪币： 43 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	wjwmz 8 楼先用混淆器，再用其他壳呗～ 2011-2-9 13:00 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 9 楼要绕过自修改代码，两个比较传统的方法是动态调试和动态模拟，这些年静态算法特征检查也一定进展。去除花指令的方法，现在一般固定或者相对有规律的指令搭配的检查，但是这些年花指令也有了新方法，只使用纯粹的花指令就能对抗这样的检查。 2011-2-9 13:08 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 10 楼这个方法对方OD有一些效果，但是对方IDA还不行，因为IDA有基于程序切片的程序控制流图 2011-2-9 13:41 0
twister 雪币： 229 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 115 粉丝 0 关注私信	twister 1 11 楼收藏了，以后再学习 2011-2-9 14:37 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 12 楼楼上几位的光说，不想哈存放指令的空间在哪里？全部Dump还是增加区段？这个主要存放指令的空间找不到，固定空间 2011-5-20 09:20 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 13 楼很多人已经实现的东西，你还在探索。加油啊，楼主 2011-5-20 09:58 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 14 楼 themida...-0-... 2011-5-20 11:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼在努力，现在用不上，把思路记住就可以了，记得好像可以修改区段大小把，再重定位 2011-5-20 13:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2 楼首先，反汇编PE的.text节，结合重定向表的数据，分析获得指令之间的跳转、调用等引用关系。实现这个，就很牛B了 2011-2-7 21:14 0
zenix 雪币： 2393 活跃值： (1387) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 3 楼加入大量奇怪的代码。例如： Push Edx 变形为.... push ebx mov ebx,esp push ebp mov ebp,00000004 add ebx,ebp pop ebp sub ebx,00000004 xchg ebx,[esp] <- here pop esp mov [esp],edx 2011-2-8 00:45 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 4 楼把数学学好，思路就出来了。 2011-2-8 03:14 0
wjwmz 雪币： 43 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	wjwmz 5 楼为什么啊？这个是代码混淆。主要跟数据结构有关系。跟数学的关系不大吧～ 2011-2-8 15:10 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 6 楼看了不少这方面的论文，我觉得数学还是很重要的，作为一个代码混淆引擎，要想留下较少的特征规律，算法上的研究还是很重要的，这方面数学的助力还是很大的。 2011-2-9 10:22 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 7 楼如果有自修改或者花指令怎样绕过？ 2011-2-9 10:41 0
wjwmz 雪币： 43 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	wjwmz 8 楼先用混淆器，再用其他壳呗～ 2011-2-9 13:00 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 9 楼要绕过自修改代码，两个比较传统的方法是动态调试和动态模拟，这些年静态算法特征检查也一定进展。去除花指令的方法，现在一般固定或者相对有规律的指令搭配的检查，但是这些年花指令也有了新方法，只使用纯粹的花指令就能对抗这样的检查。 2011-2-9 13:08 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 10 楼这个方法对方OD有一些效果，但是对方IDA还不行，因为IDA有基于程序切片的程序控制流图 2011-2-9 13:41 0
twister 雪币： 229 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 115 粉丝 0 关注私信	twister 1 11 楼收藏了，以后再学习 2011-2-9 14:37 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 12 楼楼上几位的光说，不想哈存放指令的空间在哪里？全部Dump还是增加区段？这个主要存放指令的空间找不到，固定空间 2011-5-20 09:20 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 13 楼很多人已经实现的东西，你还在探索。加油啊，楼主 2011-5-20 09:58 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 14 楼 themida...-0-... 2011-5-20 11:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼在努力，现在用不上，把思路记住就可以了，记得好像可以修改区段大小把，再重定位 2011-5-20 13:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复