ctfer 发表于 2021-7-7 15:08:50

反-反汇编patch学习

最近在学习反-反汇编技巧,以此记录。仅仅是新手的学习记录,大佬轻喷

ctfer 发表于 2021-7-7 15:09:39

本帖最后由 ctfer 于 2021-7-7 15:10 编辑

编写一个测试程序这个程序没有什么意义,在IDA中把puts函数patch成nop用于添加我们自己的指令肯定有更好的方法,但是这里只是为了练习visual studio 2019 preview x64 release编译#include<stdio.h>#include<stdlib.h>
#include<string.h>
int main(int argc, char** argv) {
    char a;
    system("pause");
    a = getchar();
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    putchar(a);
    system("pause");
    return 0;
}

ctfer 发表于 2021-7-7 15:18:15

patch过程添加nopIDA打开,根据字符串找到我们自己的逻辑
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/1.png?inline=false
把一部分puts("nop me") patch成nop,类似这样,在这些nop中开始表演
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/2.png?inline=false

ctfer 发表于 2021-7-7 15:19:47

添加特别的汇编指令这里现在一堆nop中添加如下的两条指令,来分析一下
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/3.png?inline=false
call $+5也就是跳转到pop rax,看起来和直接跳到下一条指令没什么区别但实际上,call会把下一条要执行的指令地址压栈,这里也就是把0x140001035压栈再pop rax,这时rax就是0x140001035了
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/4.png?inline=false
调整rax的位置,加上8以后jmp rax,准备跳到原本的指令中这里rax==0x140001035+8==0x14000103Cpatch到这里,保存一下,即附件中的patched1在IDA中重新打开,调试发现,jmp rax即将跳转到jmp指令的之后的某条指令上
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/5.png?inline=false

ctfer 发表于 2021-7-7 15:21:27

添加垃圾指令
为了让反汇编引擎"出错",我们可以在中间即将跳过的nop中,添加特殊的垃圾指令

比如刚刚动态调试发现会跳转到...03D的位置上,那我们就让03D的指令是jmp到接下来的原程序流程

这里也就是跳转到puts("nop me")
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/6.png?inline=false

保存一下,作为patched2可以看到还是可以正常运行的虽然IDA的反汇编引擎识别的不错,但是F5的结果就有点差了
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/7.png?inline=false
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/8.png?inline=false
我们改成0xEB,保存为patched3,重新打开,可以看到IDA的反汇编已经把很多指令识别为数据了
https://gitlab.com/freedom374/blog/-/raw/main/%E5%8F%8D-%E5%8F%8D%E6%B1%87%E7%BC%96/9.png?inline=false
F5后也看不到原本的几个puts("nop me")了

ctfer 发表于 2021-7-7 15:21:44

让IDA正确分析
本程序中,可以通过动态调试发现jmp rax的目的地,然后从call $+5开始,把这些指令都nop掉,直接jmp 到该去的地址,帮助IDA正确分析

帮助IDA了解哪些是数据、哪些是代码指令,可以用U D C这三个快捷键,应该是undefine,data,code的意思
页: [1]
查看完整版本: 反-反汇编patch学习