ASM 板


LINE

看板 ASM  RSS
※ 引述《zha0 (zha0)》之銘言: : ※ 引述《amjads (秀樹)》之銘言: : : 我的想法: 那就不要垃圾指令... 從頭到尾都不要了... : : 直接在宿主的開頭的程式碼取一段來分析, 並將解碼程式與其相結合, 我印象中 : 之前還滿多人在寫 LDE (Length Disassembler Engine) 最小好像 1xx~2xx bytes 這種東西很好寫, 將指令集歸納成一張表格就搞定了... 缺點是程式流程沒辦法判斷, 必須要另外再寫一組指令模擬... : : 在 64 位元的環境下很好做到! 但是要附上兩個 tab 紀錄分解組裝的位址... : : 程式一開始會先 run 解碼與宿主的結合體, 等解碼完畢後, 在將該區域修改的部 : : 份在改回來, 在轉出控制權... : PE : TLS Callback, ELF : PIC, PIE : 看完上面的感覺好像?程式碼的每個指令都插到宿主去,還是我認知有錯 XD 沒錯 :) : 因為想用 OEP (Entry-Point Obscuring) 插程式碼,宿主程式碼如果一大, : 因該會很懶得,去追,跟去柝出來 >__< 所以最終的目的還是要強迫對方使用指令模擬來應付 : 插入的每一個指令都是用來填入記憶体,把整個 infect+insert code 都填出來, : 然後再跳過去執行。 ( 如果遇到 NX, XD 因該會死 ) 這裡你就跟我想得不一樣了... 我是指將解碼指令"徹底"的融入宿主之內, 連設初值或是迴圈都用宿主中現成的指令, 舉例來說: ******************** Program Entry Point ******** 00401000 A1E3604100 mov eax, dword ptr [004160E3] 00401005 C1E002 shl eax, 02 00401008 A3E7604100 mov dword ptr [004160E7], eax 0040100D 57 push edi 0040100E 51 push ecx 0040100F 33C0 xor eax, eax 00401011 BF7C8A4100 mov edi, 00418A7C <------ 這些初值都可以利用 00401016 B9C80A4200 mov ecx, 00420AC8 0040101B 3BCF cmp ecx, edi 0040101D 7605 jbe 00401024 0040101F 2BCF sub ecx, edi 00401021 FC cld 00401022 F3 repz 00401023 AA stosb 00401024 59 pop ecx 00401025 5F pop edi 到目前為止沒用到的暫存器有: ebx edx esi ... 隨便找一個來用 就用 ebx 來做偏移位址吧 00401026 6A00 push 00000000 00401028 E83EBD0000 call 0040CD6B 0040102D 59 pop ecx 上面三行改掉 mov ebx,bd3ee800h (5bytes) 初值對方幫我們弄好了 L1: add eax,ebx (2bytes) inc ebx (1bytes) 0040102E 68AC604100 push 004160AC 00401033 6A00 push 00000000 00401035 E8C84A0100 Call 00415B02 再改 sub byte ptr [ebx+????????h],60h (7bytes) cmp ebx,????????h (6bytes) 0040103A A3EB604100 mov dword ptr [004160EB], eax 0040103F 6A00 push 00000000 又改 jbe L1 (2bytes) sub eax,esi test eax,eax 00401041 E9B6430100 jmp 004153FC 改改改 jmp xxxxxxxx 跳到我想到的地方 等我們的小東西執行完後, 再將原先改的部分 改回來, 再接著執行原宿主 :) 00401046 E9BBBD0000 jmp 0040CE06 0040104B 33C0 xor eax, eax 0040104D A0D8604100 mov al, byte ptr [004160D8] 00401052 C3 ret 00401053 A1EB604100 mov eax, dword ptr [004160EB] 00401058 C3 ret 為了讓 trace 更困難, call 的指令可以儘量不去變動, 只改其位址就行了... 怎麼樣讓指令看起來不垃圾呢? 用三組以上的暫存器來做, 當 Reg 1 值成立後修改 Reg2 , 當 Reg 2 值成立後修改 Reg3, 利用這些樣板原則產生的垃圾指令, 就不會無意義了... --



※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.112.171.185 ※ 編輯: amjads 來自: 59.112.171.185 (03/18 10:06)
1F:推 jeunder:乾脆直接融合在一起就好了, 連解碼的片段都可以省了. 03/18 13:57
2F:→ jeunder:只是自體會隨著融合次數的增加, 而逐漸的肥大, 所以重組 03/18 13:59
3F:→ jeunder:簡化的手段是必要的. 03/18 14:03
4F:→ jeunder:[閒聊] 你這傢伙, 還在不務正業啊? :p 03/18 14:05
5F:→ amjads:全部融合的話, 工程浩大啊~ 03/18 15:12
6F:→ amjads:[閒聊] 我是剛逛完 CAD/CAM 之後, 無意間看到有 ASM 這區 03/18 15:18
7F:→ amjads:剛好又不小心看到兩個人好像是曾相識的, 就過來湊一下熱鬧 03/18 15:20







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:Soft_Job站內搜尋

TOP