[原创]演示代码乱序反掉IDA流程图-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]演示代码乱序反掉IDA流程图

发表于: 2011-4-5 16:21 18342

[原创]演示代码乱序反掉IDA流程图

邓韬

2011-4-5 16:21

18342

先引用下玩命老大的话：
0.什么是乱序
乱序就是打乱原来的流程。
很多朋友逆向程序时,会把一个程序直接丢到IDA里会出现一副流程图。我们现在要做的就是把这副
流程图打乱。但是并不影响原先流程的逻辑。乱序的原理其实比较简单。说白了就是做HOOK然后填充
花指令。最后在跳转会原先的地址。看下我们的代码，

#include<stdio.h>
typedef void(*My_Main)(void);
typedef void(*My_Main1)(void);
My_Main MyMain;	
My_Main1 MyMain1;
int Addr;
void Func1(void)
{
	printf("Func1\n");
	_asm jmp Addr   //跳回源地址
}
void Func(void)
{
	printf("Func\n");
	MyMain1=&Func1;
	_asm jmp MyMain1  //跳到上面的函数
}
int main(void)
{
	_asm mov esi,ebp  //保存ESP，以便返回到编译器的预处理代码
	MyMain=&Func;
               //这两条汇编代码保存最后个函数返回的地址
	_asm mov eax,a
	_asm mov Addr,eax 
	printf("Main:0x%x\n",MyMain);
	_asm jmp MyMain;
a:
	_asm mov ebp,esi //恢复ESP
	return 0;
}

在看下IDA的流程图

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

IDA代码.JPG （148.28kb，887次下载）

收藏・11

免费・7

支持

最新回复 (33) 1 2 ▶
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 2 楼刚看了一下《IDA Pro权威指南》这本书，好像这应该是递归下降反汇编算法的一个缺点，对于call eax和jmp eax这样的不确定的地址采用递归下降反汇编算法是难以分析的。 2011-4-5 16:37 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼多谢楼上光临帖子，留个言！打个广告，在学几个月，我就帮人做大家做马的做加密工作，10块一次，买包烟，去超级巡警，超级巡警不要我，非要弄的我和杀软作对，一份病毒分析的工作都找不到 2011-4-5 18:39 0
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 4 楼你这是什么理论啊。 2011-4-5 19:20 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼本来给超级巡警发了份简历，病毒分析，工资这些我都不在乎，我郁闷，不要，等我几个月，我就开始，帮做木马病毒的做加密工作，，简称：反反病毒分析！他们能招病毒分析，哈哈，我低价给人做反反病毒分析，看是谁遭殃！ 2011-4-5 20:14 0
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 6 楼技术是没有好坏的，但人却有，其实我觉得做人不能够太偏激，此处不留爷自有留爷处，只需要自己的技术能够成长起来，等待机会。 2011-4-5 20:51 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 7 楼有能力做了为什么要价这么低低调做事能赚很多的 2011-4-5 20:57 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼 NO，此话非也，我对钱一向不感兴趣的，够用就行了！ 2011-4-5 21:53 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 9 楼等5年后你还能说出这句话我就算你牛。。。 2011-4-6 12:11 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 10 楼必然是你遭殃，不解释，明白的自然明白。 2011-4-6 12:25 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 11 楼哈哈，现在不管，我只知道现在，以后的事以后在说 2011-4-6 12:29 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 12 楼你多写一些这样的小程序, 超级巡警就会发现你的才华的. 2011-4-6 23:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼呵呵，没事写的，我什么水平只有我自己知道，谁也不知道 2011-4-7 01:54 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 14 楼这就是你的问题了中国十几亿基数太大了,有水平的人实在在太多了 2011-4-7 03:31 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼呵呵，我只要自己努力就行了！ 2011-4-7 03:50 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 16 楼多几个做马的人。。他们才开心。。 2011-4-7 10:56 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 17 楼我不做马的，要是我被抓，我就白学了 2011-4-7 12:32 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 18 楼畸形心理造就奇怪理论。 2011-4-7 14:27 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 19 楼 idaer表示没有任何鸭梨轻松路过 2011-4-8 15:47 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 20 楼小屁孩一个，心理一点都不成熟；技法只是手段，如果以此卖弄，则只会流于表面；你需要掌握的是骨骼和思想，如何看问题，如何做事情；以你这样的心理，心胸，任何公司都不会器用你； 2011-4-8 16:01 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 21 楼被拒绝的人不止一个. 但是被拒绝了产生这种心理的人. 目前只发现一个. 先从自身找原因. 2011-4-8 17:28 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 22 楼你在涛哥招学徒的帖子中, 说过自己未满 19. 是未成年吧? 哪个公司都不会招未成年人的. 法律明确禁止的. 2011-4-8 17:50 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 23 楼血气方刚呀不错年轻人该有的姿态很有前途不过还是得先把“道”给摆正了才好 2011-4-8 17:57 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 24 楼涛哥xx？只是xxx比我xxxxx，听他说有女儿了，我女朋友都还没呢，，还有我今年满19了，看起来像15 很恼火啊， 2011-4-8 22:14 0
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 25 楼虽然你还不是程序员，但这个是你不具备的谦虚谨慎，戒骄戒燥，永远要知道有人比你厉害很多，自己能做的就是提升自己，我怎么又在讲理论了。 2011-4-8 22:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

邓韬

265

发帖

1670

回帖

520

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 2 楼刚看了一下《IDA Pro权威指南》这本书，好像这应该是递归下降反汇编算法的一个缺点，对于call eax和jmp eax这样的不确定的地址采用递归下降反汇编算法是难以分析的。 2011-4-5 16:37 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼多谢楼上光临帖子，留个言！打个广告，在学几个月，我就帮人做大家做马的做加密工作，10块一次，买包烟，去超级巡警，超级巡警不要我，非要弄的我和杀软作对，一份病毒分析的工作都找不到 2011-4-5 18:39 0
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 4 楼你这是什么理论啊。 2011-4-5 19:20 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼本来给超级巡警发了份简历，病毒分析，工资这些我都不在乎，我郁闷，不要，等我几个月，我就开始，帮做木马病毒的做加密工作，，简称：反反病毒分析！他们能招病毒分析，哈哈，我低价给人做反反病毒分析，看是谁遭殃！ 2011-4-5 20:14 0
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 6 楼技术是没有好坏的，但人却有，其实我觉得做人不能够太偏激，此处不留爷自有留爷处，只需要自己的技术能够成长起来，等待机会。 2011-4-5 20:51 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 7 楼有能力做了为什么要价这么低低调做事能赚很多的 2011-4-5 20:57 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼 NO，此话非也，我对钱一向不感兴趣的，够用就行了！ 2011-4-5 21:53 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 9 楼等5年后你还能说出这句话我就算你牛。。。 2011-4-6 12:11 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 10 楼必然是你遭殃，不解释，明白的自然明白。 2011-4-6 12:25 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 11 楼哈哈，现在不管，我只知道现在，以后的事以后在说 2011-4-6 12:29 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 12 楼你多写一些这样的小程序, 超级巡警就会发现你的才华的. 2011-4-6 23:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼呵呵，没事写的，我什么水平只有我自己知道，谁也不知道 2011-4-7 01:54 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 14 楼这就是你的问题了中国十几亿基数太大了,有水平的人实在在太多了 2011-4-7 03:31 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼呵呵，我只要自己努力就行了！ 2011-4-7 03:50 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 16 楼多几个做马的人。。他们才开心。。 2011-4-7 10:56 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 17 楼我不做马的，要是我被抓，我就白学了 2011-4-7 12:32 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 18 楼畸形心理造就奇怪理论。 2011-4-7 14:27 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 19 楼 idaer表示没有任何鸭梨轻松路过 2011-4-8 15:47 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 20 楼小屁孩一个，心理一点都不成熟；技法只是手段，如果以此卖弄，则只会流于表面；你需要掌握的是骨骼和思想，如何看问题，如何做事情；以你这样的心理，心胸，任何公司都不会器用你； 2011-4-8 16:01 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 21 楼被拒绝的人不止一个. 但是被拒绝了产生这种心理的人. 目前只发现一个. 先从自身找原因. 2011-4-8 17:28 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 22 楼你在涛哥招学徒的帖子中, 说过自己未满 19. 是未成年吧? 哪个公司都不会招未成年人的. 法律明确禁止的. 2011-4-8 17:50 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 23 楼血气方刚呀不错年轻人该有的姿态很有前途不过还是得先把“道”给摆正了才好 2011-4-8 17:57 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 24 楼涛哥xx？只是xxx比我xxxxx，听他说有女儿了，我女朋友都还没呢，，还有我今年满19了，看起来像15 很恼火啊， 2011-4-8 22:14 0
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 25 楼虽然你还不是程序员，但这个是你不具备的谦虚谨慎，戒骄戒燥，永远要知道有人比你厉害很多，自己能做的就是提升自己，我怎么又在讲理论了。 2011-4-8 22:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复