有关花指令的一点小研究(二)
在上篇文章里我用call花指令实现迷惑IDA与OD。相关代码如下:
myjmp proc
pop eax
add eax,ecx
push eax
ret
myjmp endp
start:
mov ecx,offset @F- $ -10
call myjmp
db '花指令乱码'
@@:;.........正常指令继续
那么,我们是不是可以丰富一下这个花指令,使它的欺骗性更高呢?或者加入一些指令对付动态调试?
[思路来源]:
1、一般破解教程告诉我们,call指令后面如果紧接着test eax,eax&jz/jnz指令,那么建议在后面两条指令下断,可以得到一些关键提示。
2、对于一般的动态调试断点,调试器会把原指令处代码改成int 3,执行到此处时中断再恢复原指令。
嘿嘿,有没有想到什么?!我们也可以在我们花指令后加入test/jcc指令,以达到欺骗效果。骗得跟踪者在这两条指令下断。
中断是下了,可以怎么也等不到中断。因为程序永远也不会执行到这里。相关实现很简单:
myjmp proc
pop eax
add eax,ecx
push eax
ret
myjmp endp
start:
mov ecx,offset @F- $ -10
call myjmp
test eax,eax
jz $+10
db '花指令'
@@:;.........正常指令继续
而这时候我们会想,既然跟踪者很可能在后面两个指令下断,那我们能不能针对这个现象反击一下跟踪者哩?
嘿嘿,太阴险的想法了:P,答案是:可以实现。只要在myjmp里加入检测后面两条指令数据是否为0xcc(即int 3),一旦检测到。我们操纵程序流程跑飞程序!
具体实现如下:
myjmp proc
pop edx
xor eax,eax
mov al,byte ptr [edx] ;这里开始检测后面两条指令是否为int 3
cmp al,0cch
setz al ;这里使用了Pentinum pro的条件设置指令集以使条件判断不影响流水线。所以注意测试时的CPU是否支持。一般来说都支持啦。
shl eax,8
mov al,byte ptr [edx+1]
cmp al,0cch
setz al
shl eax,8
mov al,byte ptr [edx+2]
cmp al,0cch
setz al
shl eax,8
mov al,byte ptr [edx+3]
cmp al,0cch
setz al
test eax,eax
setnz al
add edx,eax ;一旦被下断,eax必定不为0,这样,程序便会跑飞。
add edx,ecx
push edx
ret
myjmp endp
start:
mov ecx,offset @F- $ -10
call myjmp
test eax,eax
jz $+10
db '花指令垃圾'
@@:;.........正常指令继续
这里,请注意,加入垃圾数据后,最好自己反汇编或跟踪下,看看效果,有时候加入的垃圾数据正好结束,正常指令正好开始,还是会暴露后面的关键指令的。
------
顺便提一下:其实如果仔细跟踪,破解花指令很简单,把垃圾数据都nop掉,再分析,正常指令便出来了。嘿嘿。但这需要:耐心++
不敢藏私。赶紧拿出来分享。欢迎交流、拍砖。谢谢!