反汇编代码里面的地址_恶意代码分析之对抗反汇编技巧入门

在做恶意样本静态分析的时候会有一些样本&＃xff0c;使用对抗反汇编的方法&＃xff0c;一般的对抗反汇编的方法就是加壳&＃xff0c;这里我就不介绍了&＃xff0c;我这里说两个比较简单的对抗反汇编的方法&＃xff0c;一种使用&＃xff1a;无效指令&＃xff0c;一种使用&＃xff1a;花指令。

使用无效指令&＃xff0c;对抗反汇编&＃xff0c;使用IDA打开恶意样本之后&＃xff0c;如下所示&＃xff1a;

00401010处的CALL指令&＃xff0c;跳转到一个错误的地址处&＃xff0c;很明显是IDA解析出了问题&＃xff0c;我们可以看看它的机器码&＃xff1a;

相应的机器码&＃xff1a;

E8  8B 45 0C 8B

E8  8B 45 0C 8B

这里要注意一下这个E8指令&＃xff0c;它是一个CALL指令&＃xff0c;我们再看它前面的指令

jz short near ptr loc_401010&＃43;1

意思是跳转到下一条指令&＃xff0c;我们需要E8这条指令转化为数字&＃xff0c;如下&＃xff1a;

然后前面的jz指令跳转到了00401011的位置&＃xff0c;我们重新把这条指令的机器码转化为代码&＃xff0c;如下&＃xff1a;

同样将下面的代码中的E8指令过滤掉&＃xff0c;然后转化为代码如下&＃xff1a;

使用花指令&＃xff0c;对抗反汇编&＃xff0c;我们先写一个简单的程序&＃xff0c;如下&＃xff1a;

编译之后用IDA打开程序&＃xff0c;很容易就看出程序的代码&＃xff0c;如下&＃xff1a;

然后我们修改一下程序&＃xff0c;加一些简单的跳转和垃圾代码&＃xff0c;如下&＃xff1a;

编译完之后&＃xff0c;拖到IDA里显示如下&＃xff1a;

会多出一些流程跳转&＃xff0c;分支判断的显示&＃xff0c;如果程序比较大&＃xff0c;而且里面包含的这样的跳转比较多&＃xff0c;就会给分析人员分析增加复杂度&＃xff0c;以上两种方法只是简单的反对抗汇编&＃xff0c;最直接有效的方式&＃xff0c;当然是写个壳&＃xff0c;然后把整人PE文件包裹起来&＃xff0c;这样用IDA打开之后&＃xff0c;就全是壳代码&＃xff0c;无法解析&＃xff0c;只能动态调试解壳之后&＃xff0c;才能静态分析。