繁体 English 中英

设计一个指令序列，以便在使用偏移量解码时执行其他操作

[英]Designing an instruction sequence so that it does something else if decoded with an offset

原文 2014-07-05 12:05:13 8 1 assembly/ x86/ obfuscation/ machine-code/ antivirus

这个问题是该问题的后续问题。

要设置此问题的上下文，请考虑Null-free programming 。 这是一种将指令序列（shellcode）伪装成字符串的技术。 在 C 编程语言中，字节 0 标志着字符串的结束，因此指令序列必须设计为不包含任何此类字节，否则会被滥用的字符串操作函数截断。

IA32 和 x86-64 指令集的可变长度指令没有特定的对齐方式，允许任务 B 的指令在执行任务 A 的现有指令流中的偏移处进行解码。这种技术已在个人计算机的早期（1980 年代）以节省空间。

从第一条指令的偏移量开始，在代码中嵌入代码的技术是否已经被用作欺骗反病毒检测的一种方法？ 它有名字吗？ 如果它有用并且已经被使用过，那么一个例子是什么？ 如果攻击者开始编写代码，那么任务 A 以一种表面上无害的方式什么都不做就足够了，这可能会留下足够的余地来做任务 B 想要做的任何事情。

1 个解决方案

是的，这肯定已用于混淆代码有用的任何情况。 不仅用于病毒编程，还用于软件保护和逆向工程预防。

我自己在大小编码比赛中使用过几次，并在其他人的参赛作品中看到了几个例子。

这种技术自然已经针对不同的处理器进行了多次发明和再发明，因此您自然会为它找到几个不同的名称。 我发现了诸如“重叠指令”和“指令中断”之类的名称。

一些资源：

跳转到指令的中间 - 在 IA-32
什么是“重叠指令”混淆？
x86二进制反汇编和混淆的新指令重叠技术

什么是解码形式的指令？

[英]What is the decoded form of an instruction?

汇编ORG指令如何计算偏移量？

[英]How does assembly ORG instruction calculate offset?

与push功能相同的指令序列

[英]Instruction sequence that does the same thing as push

具有偏移量的MOV指令

[英]MOV instruction with an offset

NASM指令序列

[英]NASM instruction sequence

将指令序列转换为图表

[英]Translating an instruction sequence into a diagram

mips存储指令偏移量，并移动指令

[英]mips store instruction offset, and move instruction

MIPS 32磅指令，带偏移

[英]MIPS 32 lb instruction with offset

带有 OFFSET 标签的汇编 PUSH 指令

[英]Assembly PUSH instruction with an OFFSET tag

为什么我的反汇编C ++代码使用指令指针和偏移来获取字符串文字？

[英]Why does my disassembled C++ code use the instruction pointer and an offset to get string literals?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 什么是解码形式的指令？汇编ORG指令如何计算偏移量？与push功能相同的指令序列具有偏移量的MOV指令 NASM指令序列将指令序列转换为图表 mips存储指令偏移量，并移动指令 MIPS 32磅指令，带偏移带有 OFFSET 标签的汇编 PUSH 指令为什么我的反汇编C ++代码使用指令指针和偏移来获取字符串文字？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM