浅析乱序代码的分析方法
关键字:乱序 分析 反汇编 InsideView
本文涉及的InsideView和相关文件下载:
下载文件
代码乱序的实现方式:
代码乱序是将一系列的代码序列分散打乱分布在PE映像中,中间穿插跳转指令以及不改变环境的垃圾代码,从而扰乱正常分析流程。一般的来讲,连接指令以无条件的跳转jmp、变形的短跳转call、对称的条件跳转指令([jz、jnz];[jc、jnc]…)等实现,前提是不改变其他环境以免破坏代码正常功能。当然,也可以先保存环境,再使用破坏环境的条件跳转或通过SEH跳转等方式,然后再恢复先前保存的环境,这种先保存再恢复的实现方式必然有成对的指令模版。归根结底,连接指令是不会改变其他环境的。
代码乱序的还原方法:
我们知道连接指令是不改变其他环境的,因此我们可以逐行分析代码,记录不改变环境的跳转,将分散乱序代码合并实现乱序的还原。代码乱序的还原方法可分为动态和静态两种,动态还原以OllyDbg为例,可利用调试器自身的反汇编引擎和脚本来实现,由于脚本和跟踪执行的效率问题,这种方式存在一定的局限性,比如动态分析时不方便比对。而静态还原首先需要一个反汇编引擎来分析指令,然后根据设定的过滤条件,将不会改变其他环境的连接跳转过滤,根据指令执行顺序,线性重排,这种方式实际上是半自动的条件反汇编。
乱序分析实例:
下面以本人测试某反汇编引擎的中间产物InsideView为例,实现代码乱序的分析还原。在InsideView中打开example.cv.exe,程序会从入口处显示默认反汇编结果,如图:
关键字:乱序 分析 反汇编 InsideView
本文涉及的InsideView和相关文件下载:
下载文件 代码乱序的实现方式:
代码乱序是将一系列的代码序列分散打乱分布在PE映像中,中间穿插跳转指令以及不改变环境的垃圾代码,从而扰乱正常分析流程。一般的来讲,连接指令以无条件的跳转jmp、变形的短跳转call、对称的条件跳转指令([jz、jnz];[jc、jnc]…)等实现,前提是不改变其他环境以免破坏代码正常功能。当然,也可以先保存环境,再使用破坏环境的条件跳转或通过SEH跳转等方式,然后再恢复先前保存的环境,这种先保存再恢复的实现方式必然有成对的指令模版。归根结底,连接指令是不会改变其他环境的。
代码乱序的还原方法:
我们知道连接指令是不改变其他环境的,因此我们可以逐行分析代码,记录不改变环境的跳转,将分散乱序代码合并实现乱序的还原。代码乱序的还原方法可分为动态和静态两种,动态还原以OllyDbg为例,可利用调试器自身的反汇编引擎和脚本来实现,由于脚本和跟踪执行的效率问题,这种方式存在一定的局限性,比如动态分析时不方便比对。而静态还原首先需要一个反汇编引擎来分析指令,然后根据设定的过滤条件,将不会改变其他环境的连接跳转过滤,根据指令执行顺序,线性重排,这种方式实际上是半自动的条件反汇编。
乱序分析实例:
下面以本人测试某反汇编引擎的中间产物InsideView为例,实现代码乱序的分析还原。在InsideView中打开example.cv.exe,程序会从入口处显示默认反汇编结果,如图:
2009-10-04 活动圆满结束,谢谢关注。
http://www.unpack.cn/viewthread.php?tid=40984&extra=page%3D1
http://www.520du.cn/bbs/viewthread.php?tid=14428&extra=
http://www.52ba.cn/bbs/thread-31181-1-1.html
以上3个论坛发放,数量有限,每个论坛配额20枚,共60枚,发完即止。
先到先得,注意看清帖子内容,超编的不算。
http://www.unpack.cn/viewthread.php?tid=40984&extra=page%3D1
http://www.520du.cn/bbs/viewthread.php?tid=14428&extra=
http://www.52ba.cn/bbs/thread-31181-1-1.html
以上3个论坛发放,数量有限,每个论坛配额20枚,共60枚,发完即止。
先到先得,注意看清帖子内容,超编的不算。
pkZine v2.0.1.858界面改动较多,新界面如下所示:
v2.0开始提供3种解析方式:
1.默认方式解析:按照pkZine识别数据库,识别已知的EXE杂志,自动选择单纯静态解析或动态辅助解析,对EXE杂志进行完全解包,还原所有原始多媒体数据。
v2.0开始提供3种解析方式:
1.默认方式解析:按照pkZine识别数据库,识别已知的EXE杂志,自动选择单纯静态解析或动态辅助解析,对EXE杂志进行完全解包,还原所有原始多媒体数据。
pkZine v2.0正在紧张编写调试中,即将闪亮登场,放个新界面图片:
单纯的静态反编译开发周期长,不利于维护,新版将引入动态分析引擎辅助反编译。
pkZine从此进入静态反编译为主,动态分析为辅,动静结合的反编译时代。
新版预计在十一期间发布,为了庆祝国庆60周年,新版发布同时,pkZine将在电子杂志相关论坛发放公共版v1.9注册码,总额60枚,使用v1.8+的硬件编码兑换,有效期为注册电脑的终身。具体分配与活动详情还在策划中,敬请关注。
单纯的静态反编译开发周期长,不利于维护,新版将引入动态分析引擎辅助反编译。
pkZine从此进入静态反编译为主,动态分析为辅,动静结合的反编译时代。
新版预计在十一期间发布,为了庆祝国庆60周年,新版发布同时,pkZine将在电子杂志相关论坛发放公共版v1.9注册码,总额60枚,使用v1.8+的硬件编码兑换,有效期为注册电脑的终身。具体分配与活动详情还在策划中,敬请关注。
v1.9版以后主界面如下:
您可以通过点击“>>”按钮保存pkZine的默认输出文件夹,以后每次运行默认将文件解包到该文件夹中,方便用户管理。
您可以点击“高级设置”,进入进阶选项界面,将有如下显示:
您可以勾选“使用命名规则命名输出子文件夹”,则pkZine解析结果将存放于自动命名的子文件夹中。命名规则如下,
内置宏名称有以下4种:
%exename%代表杂志EXE文件名;
%year%代表当前年份;
%month%代表当前月份;
%day%代表当前日期;
您可以通过点击“>>”按钮保存pkZine的默认输出文件夹,以后每次运行默认将文件解包到该文件夹中,方便用户管理。
您可以点击“高级设置”,进入进阶选项界面,将有如下显示:
您可以勾选“使用命名规则命名输出子文件夹”,则pkZine解析结果将存放于自动命名的子文件夹中。命名规则如下,
内置宏名称有以下4种:
%exename%代表杂志EXE文件名;
%year%代表当前年份;
%month%代表当前月份;
%day%代表当前日期;
