垃圾代码生成-编程技术-看雪-安全社区|安全招聘|kanxue.com

垃圾代码生成

发表于: 2009-3-28 13:13 12584

垃圾代码生成

Nooby

2009-3-28 13:13

12584

没几行,也没什么用了,放出来,忽悠一些不懂的,效果不错.

/*
__declspec(naked) void pre_poly_handler()
{
	_asm
	{
		pushfd
		add dword ptr [esp], 0xdeadbeef
		sub esp, 4

		_emit 0x11
		_emit 0x11
		_emit 0x11
		_emit 0x11
	}
}

__declspec(naked) void post_poly_handler()
{
	_asm
	{
		sub dword ptr [esp+4], 0xdeadbeef
		add esp, 4
		popfd
		_emit 0x11
		_emit 0x11
		_emit 0x11
		_emit 0x11
	}
}


DWORD get_stub_size(void* stub_address)
{
	BYTE stub_end[] = {0x11, 0x11, 0x11, 0x11};
	DWORD stub_size = 0;
	while(TRUE)
	{
		if(!memcmp((BYTE*)stub_address + stub_size, stub_end, sizeof(stub_end)))
		{
			return stub_size;
		}
		stub_size++;
	}
}

DWORD get_stub_fixup_offset(void* stub_address, DWORD magic, DWORD size)
{
	DWORD offset = 0;
	while(offset < size)
	{
		if(!memcmp((BYTE*)stub_address + offset, &magic, sizeof(DWORD)))
		{
			return offset;
		}
		offset++;
	}
	return 0;
}

__declspec(naked) void poly_jmp()
{
	_asm
	{
		_emit 0xe9
		_emit 0xef
		_emit 0xbe
		_emit 0xad
		_emit 0xde

		_emit 0x11
		_emit 0x11
		_emit 0x11
		_emit 0x11
	}
}
__declspec(naked) void poly_call1()
{
	_asm
	{
		sub esp, -4
		_emit 0xe8
		_emit 0xef
		_emit 0xbe
		_emit 0xad
		_emit 0xde

		_emit 0x11
		_emit 0x11
		_emit 0x11
		_emit 0x11
	}
}

__declspec(naked) void poly_call2()
{
	_asm
	{
		add esp, 4
		_emit 0xe8
		_emit 0xef
		_emit 0xbe
		_emit 0xad
		_emit 0xde

		_emit 0x11
		_emit 0x11
		_emit 0x11
		_emit 0x11
	}
}
__declspec(naked) void poly_call3()
{
	_asm
	{
		pop dword ptr [esp-4]
		_emit 0xe0
		_emit 0xef
		_emit 0xbe
		_emit 0xad
		_emit 0xde

		_emit 0x11
		_emit 0x11
		_emit 0x11
		_emit 0x11
	}
}
__declspec(naked) void poly_call4()
{
	_asm
	{
		lea esp, dword ptr[esp+4]
		_emit 0xe0
		_emit 0xef
		_emit 0xbe
		_emit 0xad
		_emit 0xde

		_emit 0x11
		_emit 0x11
		_emit 0x11
		_emit 0x11
	}
}

void make_poly(BYTE* buf, DWORD size)
{
	DWORD tmp = 0;
	DWORD key = 0;
	DWORD offset = 0;
	DWORD pre_poly_size = get_stub_size((void*)pre_poly_handler);
	DWORD post_poly_size = get_stub_size((void*)post_poly_handler);
	DWORD poly_jmp_size = get_stub_size((void*)poly_jmp);
	DWORD poly_call1_size = get_stub_size((void*)poly_call1);
	DWORD poly_call2_size = get_stub_size((void*)poly_call2);
	DWORD poly_call3_size = get_stub_size((void*)poly_call3);
	DWORD poly_call4_size = get_stub_size((void*)poly_call4);
	DWORD puresize = size - post_poly_size;
	memset(buf, 0x90, size);
	BYTE lastjunk = 0;
	BYTE junk = 0;
	if(size < pre_poly_size + poly_call4_size + post_poly_size)
	{
		return;
	}

	key = GetRandomDword();
	memcpy(buf, (void*)pre_poly_handler, pre_poly_size);
	memcpy(buf + get_stub_fixup_offset(buf, 0xdeadbeef, pre_poly_size), &key, sizeof(DWORD));
	offset += pre_poly_size;
	while(offset + poly_call4_size <= puresize)
	{
		DWORD tmp = GetRandomByte()%5;
		switch(tmp)
		{
			case 0:
				memcpy(buf + offset, (void*)poly_jmp, poly_jmp_size);
				offset += poly_jmp_size;
				break;
			case 1:
				memcpy(buf + offset, (void*)poly_call1, poly_call1_size);
				offset += poly_call1_size;
				break;
			case 2:
				memcpy(buf + offset, (void*)poly_call2, poly_call2_size);
				offset += poly_call2_size;
				break;
			case 3:
				memcpy(buf + offset, (void*)poly_call3, poly_call3_size);
				offset += poly_call3_size;
				break;
			case 4:
				memcpy(buf + offset, (void*)poly_call4, poly_call4_size);
				offset += poly_call4_size;
				break;

		}
		tmp = GetRandomByte()%0x50;
		if(offset + tmp <= puresize)
		{
			if(GetRandomByte()%3 == 0 && tmp >=post_poly_size)
			{
				memcpy(buf + offset, (void*)post_poly_handler, post_poly_size);
				memcpy(buf + offset + get_stub_fixup_offset(buf + offset, 0xdeadbeef, post_poly_size), &key, sizeof(DWORD));
				offset +=post_poly_size;
				tmp -= post_poly_size;
			}
			else if(GetRandomByte()%3 == 0 && tmp >=pre_poly_size)
			{
				memcpy(buf + offset, (void*)pre_poly_handler, pre_poly_size);
				memcpy(buf + offset + get_stub_fixup_offset(buf + offset, 0xdeadbeef, pre_poly_size), &key, sizeof(DWORD));
				offset +=pre_poly_size;
				tmp -= pre_poly_size;
			}
			while(tmp > 0)
			{
				junk = GetRandomByte();
				if(junk == 0xde && lastjunk == 0xad)
				{
					junk++;
				}
				lastjunk = junk;
				memcpy(buf + offset, &junk, sizeof(BYTE));
				offset++;
				tmp--;
			}
		}
	}

	DWORD fixup_offset = 0;
	DWORD dest_offset = 0;
	DWORD dest_offset_diff = 0;

	fixup_offset = get_stub_fixup_offset(buf, 0xdeadbeef, puresize);
	memset(buf + fixup_offset, 0, sizeof(DWORD));

	while(get_stub_fixup_offset(buf, 0xdeadbeef, puresize))
	{
		tmp = GetRandomByte();
		while(tmp > puresize)
		{
			tmp = GetRandomByte();
		}
		if(GetRandomByte()%2)
		{
			if(get_stub_fixup_offset(buf + tmp, 0xdeadbeef, puresize - tmp))
			{
				dest_offset = tmp + get_stub_fixup_offset(buf + tmp, 0xdeadbeef, puresize - tmp);
			}
		}
		else
		{
			if(get_stub_fixup_offset(buf + puresize - tmp, 0xdeadbeef, tmp))
			{
				dest_offset = puresize - tmp + get_stub_fixup_offset(buf + puresize - tmp, 0xdeadbeef, tmp);
			}
		}
		if(dest_offset != 0)
		{
			dest_offset_diff = dest_offset - fixup_offset - 5;
			if(*(buf + dest_offset - 1) == 0xe0)
			{
				dest_offset_diff -= 4;
			}
			else if(*(buf + dest_offset - 1) == 0xe8)
			{
				dest_offset_diff -= 3;
			}
			if(*(buf + fixup_offset - 1) == 0xe0)
			{
				memset(buf + fixup_offset - 1, 0xe8, sizeof(BYTE));
			}
			memcpy(buf + fixup_offset, &dest_offset_diff, sizeof(DWORD));
			fixup_offset = dest_offset;
			memset(buf + fixup_offset, 0, sizeof(DWORD));
		}
	}
	dest_offset = puresize - fixup_offset - 5 + 1;
	if(*(buf + fixup_offset - 1) == 0xe0)
	{
		memset(buf + fixup_offset - 1, 0xe8, sizeof(BYTE));
	}
	memcpy(buf + fixup_offset, &dest_offset, sizeof(DWORD));

	DWORD fill_size = puresize - offset;
	wmc.FillBytes((char*)buf + offset, fill_size);
	offset += fill_size;

	memcpy(buf + puresize, (void*)post_poly_handler, post_poly_size);

	memcpy(buf + puresize + get_stub_fixup_offset(buf + puresize, 0xdeadbeef, post_poly_size), &key, sizeof(DWORD));


}

*/

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・20

免费・7

支持

最新回复 (22)
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2 楼沙发看来这就是NP的萎缩了 2009-3-28 13:15 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 3 楼早就不用这个了. 2009-3-28 13:18 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 4 楼我只是过来膜拜的 2009-3-28 14:30 0
parachaos 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 66 粉丝 0 关注私信	parachaos 1 5 楼强　　　　　 2009-3-28 17:31 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 6 楼我来膜拜Nooby的。 2009-3-28 19:02 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 7 楼功能类似花？起干扰作用的？ 2009-3-28 20:24 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 72 关注私信	玩命 31 8 楼友情支持 2009-3-28 21:04 0
measuresoft 雪币： 240 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	measuresoft 9 楼谢谢。这段时间在写自己的加密程序，用的上 2009-4-6 10:28 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼 TAG: NP早已不用而我视若神明的JUNK垃圾代码生成花指令 2009-4-6 18:01 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼这句话是什么意思, 这是NP的浓缩? 另外上面的代码也看不明白呀, key = GetRandomDword(); 这个函数用 rand替换可行不? wmc.FillBytes((char*)buf + offset, fill_size); wmc 又是什么类? 怎么样编译成功呢>? 2009-4-7 04:21 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 12 楼太强了,我找了很久,原来在这里 2009-4-7 08:41 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 13 楼上个月就发了？我居然没看到，罪过罪过 2009-4-7 10:53 0
风间仁雪币： 28961 活跃值： (7443) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 80 关注私信	风间仁 19 14 楼太强了，Google不到，这里找到了 2009-4-7 11:00 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 15 楼 .................................晕。。 06年小零就放过一个Executable Trash Generator,没人顶。 ...................这个这么多人顶。 http://bbs.pediy.com/showthread.php?t=33642 2009-4-8 11:10 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 16 楼那个贴子我很想顶但是关闭了啊 2009-4-8 11:50 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 17 楼 ETG的asm代码被杀软杀了 2009-4-8 23:15 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 18 楼支持啊123 2009-4-10 00:37 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 19 楼学会了先山寨走.. 2009-4-10 01:53 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 20 楼我觉得我和你的区别在于我放的是注释掉的东西。 2009-4-11 23:34 0
SnowFox 雪币： 8149 活跃值： (1875) 能力值： ( LV8，RANK：122 ) 在线值：发帖 17 回帖 302 粉丝 11 关注私信	SnowFox 21 楼学习一下 2009-4-12 02:37 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 22 楼尝试编译了一下。发现一个很奇怪的问题函数放在不同的地方长度居然不一样 pre_poly_size[167] + poly_call4_size[132] + post_poly_size[142] pre_poly_size[161] + poly_call4_size[126] + post_poly_size[136] 而且没弄明白这些函数的size怎么会这么大还有一个不明白的地方只看到e0 e8，e9呢有C语言原文件都看不懂，更别说如果是汇编了。。差的不是一点半点呀 Nooby应该出来解读解读。 2009-4-13 22:36 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 23 楼莫非是debug。。。 2009-4-13 22:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Nooby

发帖

629

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2 楼沙发看来这就是NP的萎缩了 2009-3-28 13:15 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 3 楼早就不用这个了. 2009-3-28 13:18 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 4 楼我只是过来膜拜的 2009-3-28 14:30 0
parachaos 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 66 粉丝 0 关注私信	parachaos 1 5 楼强　　　　　 2009-3-28 17:31 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 6 楼我来膜拜Nooby的。 2009-3-28 19:02 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 7 楼功能类似花？起干扰作用的？ 2009-3-28 20:24 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 72 关注私信	玩命 31 8 楼友情支持 2009-3-28 21:04 0
measuresoft 雪币： 240 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	measuresoft 9 楼谢谢。这段时间在写自己的加密程序，用的上 2009-4-6 10:28 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼 TAG: NP早已不用而我视若神明的JUNK垃圾代码生成花指令 2009-4-6 18:01 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼这句话是什么意思, 这是NP的浓缩? 另外上面的代码也看不明白呀, key = GetRandomDword(); 这个函数用 rand替换可行不? wmc.FillBytes((char*)buf + offset, fill_size); wmc 又是什么类? 怎么样编译成功呢>? 2009-4-7 04:21 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 12 楼太强了,我找了很久,原来在这里 2009-4-7 08:41 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 13 楼上个月就发了？我居然没看到，罪过罪过 2009-4-7 10:53 0
风间仁雪币： 28961 活跃值： (7443) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 80 关注私信	风间仁 19 14 楼太强了，Google不到，这里找到了 2009-4-7 11:00 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 15 楼 .................................晕。。 06年小零就放过一个Executable Trash Generator,没人顶。 ...................这个这么多人顶。 http://bbs.pediy.com/showthread.php?t=33642 2009-4-8 11:10 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 16 楼那个贴子我很想顶但是关闭了啊 2009-4-8 11:50 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 17 楼 ETG的asm代码被杀软杀了 2009-4-8 23:15 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 18 楼支持啊123 2009-4-10 00:37 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 19 楼学会了先山寨走.. 2009-4-10 01:53 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 20 楼我觉得我和你的区别在于我放的是注释掉的东西。 2009-4-11 23:34 0
SnowFox 雪币： 8149 活跃值： (1875) 能力值： ( LV8，RANK：122 ) 在线值：发帖 17 回帖 302 粉丝 11 关注私信	SnowFox 21 楼学习一下 2009-4-12 02:37 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 22 楼尝试编译了一下。发现一个很奇怪的问题函数放在不同的地方长度居然不一样 pre_poly_size[167] + poly_call4_size[132] + post_poly_size[142] pre_poly_size[161] + poly_call4_size[126] + post_poly_size[136] 而且没弄明白这些函数的size怎么会这么大还有一个不明白的地方只看到e0 e8，e9呢有C语言原文件都看不懂，更别说如果是汇编了。。差的不是一点半点呀 Nooby应该出来解读解读。 2009-4-13 22:36 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 23 楼莫非是debug。。。 2009-4-13 22:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复