花指令的模式识别以及处理
前言:
花指令的出现主要是防止软件被反编译,加大逆向分析的难度,在一些代码中插入一些脏字节
为啥我要写呢,因为面试的时候也碰到了,虽然我都答出来了,但是特意过来记个笔记2333
一.花指令的分类
1. 可执行的花指令
之前在西电的ctf上,就碰到一题,只是为了混淆视听而已,实际上根本不会执行,
加大你静态分析的难度,那题是在源码级上搞,还有那种在汇编级上push一下
,再pop一下,这种看似没什么用的操作同理
2. 不可执行的花指令
这里要总结几种汇编层面上的花指令模式,很大程度是因为ida无法联系上下文233
1.jx+jnx
这个就不用多说了吧,很常见的一种花指令了,这里jnz实际上是fake的,因为jz这个指令,让ida
认为jz下面的是另外一个分支,所以这里去除,就是将jnz下面包括jnz 全c了,然后把loc_402669+1
的字节码全给nop了,f5就管用了
2. call pop / add esp
这里call指令,其实本质就是jmp&push 下一条指令的地址,但是这里其实就是一个jmp指令
所以 push这条指令是多余的,需要add esp,4 调整堆栈,但是ida会默认把call 后面的那个地址
当成一个函数。
3. stx/jx
clc是清除EFlags寄存器的carry位的标志,而jnb是根据cf==0时跳转的,然而jnb这个分支指令,ida
又将后面的部分认作成了另外的分支,interesting。
4.jmp xxx红色
这也是一种非常常见的花指令的,其实这里很明显就有问题,因为虚拟地址怎么可能有那么大对吧,
我们来看一下花指令源代码,
实际是e9在搞鬼,ida会默认将e9后面的4个字节当成地址,只要nop掉就好了
5. 多重跳转的
这里也是,仔细分析下逻辑发现其实这一大段根本没用,就离谱,单纯恶心反编译器的,我们可以使用idapython
来进行去花,而且当花指令很多的时候,idapython的自动化会很有用
二.利用idapython去除第5点花指令
def nop(addr,endaddr): while(addr<endaddr): PatchByte(addr,0x90) addr+=1 def undefine(addr,endaddr): while addr<endaddr: MakeUnkn(addr,0) addr+=1 def dejunkcode(addr,endaddr): while addr<endaddr: MakeCode(addr) # 匹配模版 if GetMnem(addr)=='jmp' and GetOperandValue(addr,0)==addr+5 and Byte(addr+2)==0x12: next=addr+10 nop(addr,next) addr=next continue addr+=ItemSize(addr)
里面使用到的ida函数解析
MakeCode(ea) #分析代码区,相当于ida快捷键C ItemSize(ea) #获取指令或数据长度 GetMnem(ea) #得到addr地址的操作码 GetOperandValue(ea,n) #返回指令的操作数的被解析过的值 PatchByte(ea, value) #修改程序字节 Byte(ea) #将地址解释为Byte MakeUnkn(ea,0) #MakeCode的反过程,相当于ida快捷键U MakeFunction(ea,end) #将有begin到end的指令转换成一个函数。如果end被指定为BADADDR(-1),IDA会尝试通过定位函数的返回指令,来自动确定该函数的结束地址
idapython的参考api链接:
https://www.bbsmax.com/A/x9J27Lgg56/