[求助]花指令的困惑-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 2 楼花指令就是在特定位置插入干扰字段,但是实际运行过程中这些字段会被选择性跳过由于intel x86 的指令是变长指令（其他的我不清楚，这行不保证正确），所以指令包含指令头+参数比如靠便宜计算地址的调用指令 e8 e8指令的长度是5个字节，如果指令是这样 address inistruction 0x00000000 e800010000 0x00000005 xxxxxxxxxxx 。。。。。 0x00000005+0x100 .......... 如上面所示e8指令后面紧跟的32位为偏移量，这个偏移量加上下一条指令的地址，即为所调用函数的目标地址而如果你想花掉这段代码比如在e8前再加一格e8-〉 e8e8000100 则你在反汇编时会看到调试器里面显示为 call [目标地址为作为e8这条指令地址+5+0x000100e8] 而真正的执行过程中，该处的第一个e8会被跳过去，会出现你看到的指令和执行结果不一致的现象而被选作花指令的必须是多字节指令头，比如e8，这样他会使后面真正指令被隐藏，如果你选择单字节指令如0x90等，或者容易被识破，或者起不到效果使用花指令关键是选择合适的干扰指令，让他与你的实际指令完美融合（比较少出现破绽的调试器无法正常解析的指令等，这样会漏出破绽），另一个就是如何跳过干扰指令了，方法很多，自己去找一下希望对你有帮助 2011-10-10 16:08 1
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 3 楼至于壳，我没真正搞过，不过应该是这样壳先将你的可执行代码压缩，然后存储在加了壳的程序某个位置等到执行的时候，壳程序先于你的程序被调用，壳将你的真正代码解压，释放到内存然后壳程序将执行权交给你的执行代码而你去debug，调试器默认只认为和可执行文件对应的部分是代码，所以你看到的都是压缩过的东西，不回看出头绪，而真正执行体是在某个可修改得内存内不知道这样的理解对不对，请高手指教 2011-10-10 16:28 0
snowingday 雪币： 243 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	snowingday 4 楼感激levizhou的很呢，跟我的理解基本上也差不多，我的问题还是存在。为什么CPU的跟反汇编的不一致？一致了不就爽了！ 2011-10-10 17:44 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 5 楼反汇编是静态的就是你的exe文件在被load到内存之后和硬盘上的东西布局时一样的调试器只是根据这些东西进行分析而得到反汇编的结果而实际运行时有一些东西被动态调整了（这种调整未必会影响执行代码内存布局，但是仍会影响执行顺序） 2011-10-10 17:56 0
snowingday 雪币： 243 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	snowingday 6 楼感谢jianghe，感谢levizhou。花指令是看着错，但做的对。再次谢之 2011-10-10 22:49 0
xiasj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xiasj 7 楼学习了，感谢！ 2011-10-11 20:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 2 楼花指令就是在特定位置插入干扰字段,但是实际运行过程中这些字段会被选择性跳过由于intel x86 的指令是变长指令（其他的我不清楚，这行不保证正确），所以指令包含指令头+参数比如靠便宜计算地址的调用指令 e8 e8指令的长度是5个字节，如果指令是这样 address inistruction 0x00000000 e800010000 0x00000005 xxxxxxxxxxx 。。。。。 0x00000005+0x100 .......... 如上面所示e8指令后面紧跟的32位为偏移量，这个偏移量加上下一条指令的地址，即为所调用函数的目标地址而如果你想花掉这段代码比如在e8前再加一格e8-〉 e8e8000100 则你在反汇编时会看到调试器里面显示为 call [目标地址为作为e8这条指令地址+5+0x000100e8] 而真正的执行过程中，该处的第一个e8会被跳过去，会出现你看到的指令和执行结果不一致的现象而被选作花指令的必须是多字节指令头，比如e8，这样他会使后面真正指令被隐藏，如果你选择单字节指令如0x90等，或者容易被识破，或者起不到效果使用花指令关键是选择合适的干扰指令，让他与你的实际指令完美融合（比较少出现破绽的调试器无法正常解析的指令等，这样会漏出破绽），另一个就是如何跳过干扰指令了，方法很多，自己去找一下希望对你有帮助 2011-10-10 16:08 1
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 3 楼至于壳，我没真正搞过，不过应该是这样壳先将你的可执行代码压缩，然后存储在加了壳的程序某个位置等到执行的时候，壳程序先于你的程序被调用，壳将你的真正代码解压，释放到内存然后壳程序将执行权交给你的执行代码而你去debug，调试器默认只认为和可执行文件对应的部分是代码，所以你看到的都是压缩过的东西，不回看出头绪，而真正执行体是在某个可修改得内存内不知道这样的理解对不对，请高手指教 2011-10-10 16:28 0
snowingday 雪币： 243 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	snowingday 4 楼感激levizhou的很呢，跟我的理解基本上也差不多，我的问题还是存在。为什么CPU的跟反汇编的不一致？一致了不就爽了！ 2011-10-10 17:44 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 5 楼反汇编是静态的就是你的exe文件在被load到内存之后和硬盘上的东西布局时一样的调试器只是根据这些东西进行分析而得到反汇编的结果而实际运行时有一些东西被动态调整了（这种调整未必会影响执行代码内存布局，但是仍会影响执行顺序） 2011-10-10 17:56 0
snowingday 雪币： 243 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	snowingday 6 楼感谢jianghe，感谢levizhou。花指令是看着错，但做的对。再次谢之 2011-10-10 22:49 0
xiasj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xiasj 7 楼学习了，感谢！ 2011-10-11 20:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复