• XSS.stack #1 – первый литературный журнал от юзеров форума

Обфускация/добавление мусорных инструкций nasm/masm

Отслеживать
cppjunior

cppjunior

ripper
КИДАЛА
Регистрация
25.05.2022
Сообщения
57
Реакции
3
Гарант сделки
2
Пожалуйста, обратите внимание, что пользователь заблокирован
Как обфусцировать nasm, masm x86? Какие мусорные инструкции можно добавить кроме nop, int 3? Буду благодарен за конкретные примеры.
Простой пример:
Код: 
    mov eax, fs:[0xc0]
    test eax, eax
    jne wow64
    mov eax, 0
    ret
wow64:
    mov eax, 1
    ret

P.S В асм я полный ноль
 
Сортировать по дате Сортировать по голосам
Насколько я знаю обфускация как и крипт бывает разная. Есть на исходниках, а есть на бинарнике. Так же обфускация это запутывание кода, чаще всего шифрование секций с самим кодом ( если на бинарнике делать ).
Мусорные конструкции вряд ли помогут особенно в ассемблерном коде так как чтобы реально забить его нужно написать не мало сотен строк кода. Лучше всего скомпилируй и попробуй прошифровать секции, можешь как своим алгоритмом так и всем известными ( aes, rsa, des ... ).
Надеюсь помог)
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
cppjunior сказал(а):
int 3
Внезапно. С каких пор это мусорная инструкция?
По теме - да много чего можно, вопрос зачем. Можно сделать что либо, что не меняет значения регистра, ну т.е. вида
push eax ;помещаем в стек
pop eax ;забираем оттуда
---
inc eax ;инкремент
dec eax ;декремент
--
xchg eax,ebx ;обмен значениями
и так далее.
 
За 0 Против
DarkBLUP сказал(а):
Насколько я знаю обфускация как и крипт бывает разная. Есть на исходниках, а есть на бинарнике. Так же обфускация это запутывание кода, чаще всего шифрование секций с самим кодом ( если на бинарнике делать ).
Мусорные конструкции вряд ли помогут особенно в ассемблерном коде так как чтобы реально забить его нужно написать не мало сотен строк кода. Лучше всего скомпилируй и попробуй прошифровать секции, можешь как своим алгоритмом так и всем известными ( aes, rsa, des ... ).
Надеюсь помог)
Решил немного дополнить. int3 это инструкция точки остановки, такую обычно ставят дебагеры чтобы остановить программу во время выполнения. Мусорные инструкции не помогут защитить код от антивирусов и взломщиков, это лишь изменит сигнатуру кода и добавит вес.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Аверские дятлы уже давно умеют сворачивать мусорный код автоматом через всякие хитрые алгоритмы, типа деобфускации через оптимизацию. Есть способы до какой-то степени этому противодействовать, типа вставки кода, который работает с глобальными переменными, неявных предикатов и тд, но опять же в общем случае это будет мало эффективно. Разве что пару простых сигнатур с кода сбросить. И надо иметь ввиду, что само наличие мусорного кода в бинарнике может быть стойким признаком для эрекции антивируса.
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх