[调查]咨询下关于反汇编的一些东西-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[调查]咨询下关于反汇编的一些东西

发表于: 2007-12-3 15:07 14507

[调查]咨询下关于反汇编的一些东西

whtyy

2007-12-3 15:07

14507

假如有一个反汇编引擎或者指令解释引擎，你希望其对一段代码处理（分析或执行）之后能提供什么样的信息？
可以是单条指令的信息或者关于代码片段的统计性的信息，希望有经验的兄弟能给出一些具体点的要求，指令系统不仅仅限于X86。

本人这里并不是问关于简单的反汇编引擎的问题，所以不需要告诉我“参考某某反汇编引擎”，网上流传的那些反汇编引擎对我
的此问题没有多大的参考价值。

比如：指令种类和分布密度的信息
1）一段被压缩的代码（或者说被加密的）直接执行肯定会出现非法指令，并且即使能被执行，被执行的指令的种类、分布密度也与未被压缩的代码有区别
2）一个被加壳的程序因为存在解压过程（算术运算较多），所以，执行时在某局部时间和空间范围内，算术指令和跳转指令的密度将突然增加

这里的"指令种类和分布密度的信息"已经被用来进行“智能反汇编”的某些加权项目。
我只是举个例子，应该还有其他很多种信息，也就是我想咨询各位兄弟的

另：
如果哪位想评论“是否有意义”之类，请免开尊口。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#其他内容

收藏・2

免费・0

支持

最新回复 (33) 1 2 ▶
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 2 楼是否有意义 2007-12-3 15:15 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼参考 xde 2007-12-3 16:36 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼切，对于某些人实在是无语。还真以为自己很了不起。 2007-12-3 17:13 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 5 楼那个对我没参考价值，想来你并不理解我的意思。 2007-12-3 17:15 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼说明你没描述清楚 2007-12-3 17:40 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 7 楼反汇编能有什么要求，变成助记符就行了。<------想了想不妥，还可以生成一个指令对象如果想做反编译或者反混淆能分析一个片断生成AST也好。 2007-12-3 17:43 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼真是不懂幽默啊 2007-12-3 17:44 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 9 楼之前没看到的人会认为我也幽默了一把？ 2007-12-3 17:47 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 10 楼建议你换个心态再来问 2007-12-3 17:53 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 11 楼看不明白楼主的意思，如果表达清楚，fg的话一定是对了，如果不对，那是你的不对。。 2007-12-3 18:26 0
backer 雪币： 1829 活跃值： (1372) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 116 关注私信	backer 1 12 楼反汇编代码如果分析后，能够给个流程图之类的分析就很不错，不过这个IDA已经实现了。如果进一步，能生成等价C代码就大大OK了；再者，分析后能给个恶意行为辨别就有商业价值了。我说起来很容易，做起来就难了，呵呵 2007-12-3 19:23 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 13 楼楼上难道没见到hexray 2007-12-3 19:49 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 14 楼很抱歉，我没看出来你有的“幽默”在哪里。坦白的说，我很烦在BBS的技术板块发的水帖。本人也没认为“心态”有什么不对。若有让你不爽，这里道歉，也请您不用再幽默了。 2007-12-3 21:02 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 15 楼 to forgot and jskew: 我帖子里已经说明是“反汇编引擎或者指令解释引擎”，不确定名字，是因为我暂时还没确定最终架构，按功能也无法归为其中任一类。forgot 你是否遗漏了“指令解释引擎”这几个字？改顶楼帖子的内容仅仅是为了避免有其他人像FORGOT一样回答，若让你不爽，本人道歉。 2007-12-3 21:07 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 16 楼太假了吧楼主你那篇精华贴写的头头是道啊 2007-12-3 21:13 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 17 楼 to 楼上：那只是一个解释指令的东西，跟我这里问得东西还有点差别。我这里希望能给出一个模块，输入指定的代码片段，输出一定的结果，此结果能为之后针对这段指令的更高程度的分析提供基础信息。我这里是想问下有实际经验的兄弟需要提供什么样的信息。我还是再改下顶楼的帖子吧，估计是没人懂 2007-12-3 21:18 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 18 楼我还是不理解，哎，老了 2007-12-3 21:39 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 19 楼你的问题很是晦涩，即使做了修改让人看了也不明白你到底是想问什么，如果你是想统计一段代码的指令详细信息，我认为xde oddisasm等反汇编引擎所提供的结构完全够你用上你的智能大法去分析，如果你是想对整段代码做相对正确的反汇编分析，你还是研究IDA吧 2007-12-3 22:31 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 20 楼 XDE那个显然还不够算了，估计很少人真正去想过这种东西，都是仅仅在“反汇编”而已当我没问吧,谢谢回帖的各位。 2007-12-3 22:51 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 21 楼楼主是想把统计学的一些原理方法，应用到逆向工程中？给代码片断建立一些有意义的指标体系。类似那个PEID的熵值。不知道我的理解对不对? 2007-12-3 22:53 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 22 楼也许你所说的反汇编跟大家理解的反汇编不一样，口径不一致，无法交流 2007-12-3 22:53 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 23 楼例如雷同代码块. 2007-12-3 23:06 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 24 楼 Bind2Diff 2007-12-3 23:12 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 25 楼统计这种 mov eax,[edi+0x34] mov ecx,[ecx+0x34] 逻辑上雷同.这种要针对某代码片断统计才有意义 2007-12-3 23:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

whtyy

发帖

356

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 2 楼是否有意义 2007-12-3 15:15 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼参考 xde 2007-12-3 16:36 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼切，对于某些人实在是无语。还真以为自己很了不起。 2007-12-3 17:13 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 5 楼那个对我没参考价值，想来你并不理解我的意思。 2007-12-3 17:15 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼说明你没描述清楚 2007-12-3 17:40 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 7 楼反汇编能有什么要求，变成助记符就行了。<------想了想不妥，还可以生成一个指令对象如果想做反编译或者反混淆能分析一个片断生成AST也好。 2007-12-3 17:43 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼真是不懂幽默啊 2007-12-3 17:44 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 9 楼之前没看到的人会认为我也幽默了一把？ 2007-12-3 17:47 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 10 楼建议你换个心态再来问 2007-12-3 17:53 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 11 楼看不明白楼主的意思，如果表达清楚，fg的话一定是对了，如果不对，那是你的不对。。 2007-12-3 18:26 0
backer 雪币： 1829 活跃值： (1372) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 116 关注私信	backer 1 12 楼反汇编代码如果分析后，能够给个流程图之类的分析就很不错，不过这个IDA已经实现了。如果进一步，能生成等价C代码就大大OK了；再者，分析后能给个恶意行为辨别就有商业价值了。我说起来很容易，做起来就难了，呵呵 2007-12-3 19:23 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 13 楼楼上难道没见到hexray 2007-12-3 19:49 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 14 楼很抱歉，我没看出来你有的“幽默”在哪里。坦白的说，我很烦在BBS的技术板块发的水帖。本人也没认为“心态”有什么不对。若有让你不爽，这里道歉，也请您不用再幽默了。 2007-12-3 21:02 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 15 楼 to forgot and jskew: 我帖子里已经说明是“反汇编引擎或者指令解释引擎”，不确定名字，是因为我暂时还没确定最终架构，按功能也无法归为其中任一类。forgot 你是否遗漏了“指令解释引擎”这几个字？改顶楼帖子的内容仅仅是为了避免有其他人像FORGOT一样回答，若让你不爽，本人道歉。 2007-12-3 21:07 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 16 楼太假了吧楼主你那篇精华贴写的头头是道啊 2007-12-3 21:13 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 17 楼 to 楼上：那只是一个解释指令的东西，跟我这里问得东西还有点差别。我这里希望能给出一个模块，输入指定的代码片段，输出一定的结果，此结果能为之后针对这段指令的更高程度的分析提供基础信息。我这里是想问下有实际经验的兄弟需要提供什么样的信息。我还是再改下顶楼的帖子吧，估计是没人懂 2007-12-3 21:18 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 18 楼我还是不理解，哎，老了 2007-12-3 21:39 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 19 楼你的问题很是晦涩，即使做了修改让人看了也不明白你到底是想问什么，如果你是想统计一段代码的指令详细信息，我认为xde oddisasm等反汇编引擎所提供的结构完全够你用上你的智能大法去分析，如果你是想对整段代码做相对正确的反汇编分析，你还是研究IDA吧 2007-12-3 22:31 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 20 楼 XDE那个显然还不够算了，估计很少人真正去想过这种东西，都是仅仅在“反汇编”而已当我没问吧,谢谢回帖的各位。 2007-12-3 22:51 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 21 楼楼主是想把统计学的一些原理方法，应用到逆向工程中？给代码片断建立一些有意义的指标体系。类似那个PEID的熵值。不知道我的理解对不对? 2007-12-3 22:53 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 22 楼也许你所说的反汇编跟大家理解的反汇编不一样，口径不一致，无法交流 2007-12-3 22:53 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 23 楼例如雷同代码块. 2007-12-3 23:06 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 24 楼 Bind2Diff 2007-12-3 23:12 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 25 楼统计这种 mov eax,[edi+0x34] mov ecx,[ecx+0x34] 逻辑上雷同.这种要针对某代码片断统计才有意义 2007-12-3 23:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复