抗去除花指令(二)——有创意的花指令

最新推荐文章于 2026-03-24 15:28:56 发布
原创 最新推荐文章于 2026-03-24 15:28:56 发布 · 3.8k 阅读 · 8
标签
#api #测试
本文探讨了如何创建有创意的花指令以对抗反调试工具,特别是针对OD插件。介绍了互补条件跳转、随机值确定标志位以及利用API返回确定值等策略,这些方法通过伪装跳转结构和利用确定性条件来降低被检测的可能性。然而,随着检测技术的发展,这些技巧的效果可能会逐渐减弱。

一、概述

jmp/call/ret+垃圾数据”这样的花指令已经是相当“老掉牙”了,OD的插件对付它们基本是“秒杀”,所以本文想说点“有点创意”的花指令,至少能对付OD的插件。

 

二、创意的核心

[2.1]花指令因何被发现

jmp/call/ret+垃圾数据”的方法之所以容易被检测,原因是“意图太明显”,具体说任何一种检测手段,都是基于以下两点:

①检测跳转结构的固定形态特征,当然这不是绝对的,如果检测机制没能预见到这种形态特征,此点可以忽略,本文后边会提到一些这样的情况。

 

②用可靠的方法直接证明,垃圾数据部分在任何情况下都不会被执行。应该说该点是对“不可执行花指令”的无敌检测手段,然而却难在“可靠”二字上,目前已知的实践,只是做到“可供参考”的程度。

[2.2]创意的

最低0.47元/天 解锁文章
花指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出花指令 将他清除
【逆向学习】花指令去除
WangLal的博客
04-22 6812
逆向花指令
花指令手动清除-保姆级教学【逆向系列】
shutTD的博客
02-29 2765
逆向系列
花指令和去花
最新发布
zzh258369的博客
03-24 450
最近写题发现花指令这种比较基础的东西,不再复习补习是不行了,恰好比赛也用到了很多。所以就这个点跟赛题进行参照来进行讲解恰好这文章也搁置很久了,通过写文章复习复习,更加熟练首先就是要了解花指令,通俗的讲我们在做逆向题目的时候,需要用IDA反汇编分析代码,但是有时候会有花指令来干扰我们分析。花指令就是程序里故意加的没用但合法的代码——CPU 执行时会自动跳过 / 忽略,不影响程序正常运行,但能混淆逆向分析的人,让他们看不清程序真正的逻辑。
花指令总结
Captain_RB的博客
04-12 7256
花指令又称脏字节,英文为"junkcode",顾名思义,即在程序中加入的一些垃圾指令,其目的是在不妨碍原有程序执行的前提下,阻碍程序反编译,增加静态分析难度,隐匿不想被逆向分析的代码块,混淆代码,绕过特征识别。本文将常见的花指令进行归纳总结,作学习记录。
花指令详解
m0_51246873的博客
10-04 5980
逆向CTF花之令详解
逆向分析基础 --- 花指令实现及清除
热门推荐
abelxu
06-15 1万+
一、基本概念 花指令:目的是干扰ida和od等软件对程序的静态分析。使这些软件无法正常反汇编出原始代码。 常用的两类反汇编算法: 1.线性扫描算法:逐行反汇编(无法将数据和内容进行区分) 2.递归行进算法:按照代码可能的执行顺序进行反汇编程序。 简单的花指令 0xe8是跳转指令,可以对线性扫描算法进行干扰,但是递归扫描算法可以正常分析。 两个跳转一个指向无效数据,一个指向正常数据来干扰递归扫描算法。 花指令实现 这里的实验基础代码是参考安全客上一个师傅代码进行的 //源码 #include<s
去除花指令()——花指令基础
蛛丝
02-18 7330
<br />    入门知识,高手勿读<br />一、概述<br />花指令是对反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。<br /> <br />花指令分类<br />[2.1]可执行式花指令<br />顾名思义,可执行式花指令指的是能够正常运行的但又不改变原始程序逻辑性的一组无用指令。这类花指令有如下特点:①可以正
2022CTF培训(四)花指令&字符串混淆入门
sky123博客
11-28 4628
逆向工程中一个常用的技巧就是通过字符串来寻找核心代码,例如通过错误提示来找到判断的相关代码、通过提示语句找到相近的功能代码、通过日志输出找到相关的功能代码等等。可见字符串对于逆向人员是一个很重要的切入点。因此,保护方使用字符串混淆技术,对静态文件中的字符串进行加密,使得直接在文件中搜索字符串无法获得信息。当程序运行时再对字符串进行解密,恢复其的可读性。静态解密指的是对解密函数进行逆向,从而直接根据解密算法和加密内容进行恢复。好处有以下几点无需执行,避免环境配置、反调试等问题。
CTF逆向Reverse 花指令介绍 and NSSCTF靶场入门题目复现
Sciurdae的博客
10-10 7666
/(ㄒoㄒ)/~~花指令又名垃圾代码、脏字节,英文名是junk code。花指令就是在不影响程序运行的情况下,往真实代码中插入一些垃圾代码,从而影响反汇编器的正常运行;或是起到干扰逆向分析人员的静态分析,增加分析难度和分析时间。有句话,花指令的目的是阻挠逆向人员的分析,并不是阻止。
16位汇编第九讲汇编指令以及逆向中的花指令
weixin_30877181的博客
09-07 228
16位汇编第九讲汇编指令以及逆向中的花指令 一丶LOOP指令(循环指令) 作用:   循环指令利用cx计数器自动减1,方便实现计数循环的程序结构 例如:    mov cx,3 loop1:    ;标号 ....
某程xxmain.so花指令去除记录
P1umH0的博客
10-22 1615
最近想要练习练习脚本去花,去混淆,解密字符串但是感觉自己加花/混淆出来的样本太简单了在龙哥星球看到xccccccc师傅发了一篇某程xxmain.so的去花和算法还原的文章记一次xxmain.so从去花到魔改算法还原so里的花指令强度还算可以,模式比较固定,非常适合练习xccccccc师傅文章里App版本是8.0.65,可以说是很老,笔者在豌豆荚也下不到,于是用的8.74.6版本好在目标方法仍被保留,其在so中的偏移是0xc2794。
花指令
weixin_33939843的博客
12-26 403
完全花指令免杀学习花指令,简称“花”,意思是像花儿一样的指令。花儿是干什么的呢?当然是吸引你去观赏的,就是让你(也包括杀软)只顾去观赏美丽“花朵”,而忘记或者忽略了“花朵”后面的“果实”。简单说来,花指令就是一些看似杂乱实则另有目的的汇编指令,能够让汇编语句进行一些跳转,使得杀毒软件不能正常的判断病毒文件的构造。说的更俗就是一段垃圾代码,和一些乱跳转。但是这并不影响程序的运...
破解基础篇三
weixin_30725315的博客
05-10 260
花指令去除 1、花指令是程序设计者为了防止程序被破解而进行的方法之一,该方式会产生很多无用的但却不影响程序正常运行的代码,也同时可以防止字符串查找。本实践过程采用的是一个E语言编写的程序。 2、首先我们查看一下加花和未加花的程序不同之处,加过花的程序查到的字符串比未加花的程序显然字符串多,标明有很多无用的字符串用来实现干扰。 3、这里去除E语言花指令用到了OD的一个插件是e Junk code...
Re 花指令学习
qq_44640313的博客
12-05 2682
re花指令的简单学习
黑客术语基础知识快速了解
chengxuyuanyy的博客
11-12 903
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
简单的凯撒加密并手动去除花指令
qq_35650513的博客
01-21 654
这个程序是加了花指令的,首先去除花指令 定位到花指令位置 给他nop掉 接下来保存下来就行了 我们将去除花指令的程序拖到ida中 这是我们的main函数 我们对main函数和算法进行一些重命名修改 这个算法就是将我们输入的字符串转换为一个新的字符串,在与 ((++**–,//…QQPP 这个字符串对比 char key[] = "bcdaren"; int __cdecl Algorithm(char* inputkey, char* outputkey, int a3) { sig
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值