指令歧义及程序飞和逆向工程的关系
1.标准程序样例
MOV DPTR,#0013H;外部中断1入口地址
JNZ NEXT1;ACC<>0,取INT1地址
MOV DPTR,#0003H;外部中断0入口地址
SJMP NEXT
NEXT1:
RRA;
NEXT:
MOVC A,@A+DPTR
MOV P3,A;
LCALL XXXXH;
2.对应标准程序样例可等效非典指令序列
MOV DPTR,#0013H
JNZ NEXT-1;借用下条指令的操作数2的03H为一个隐含的RRA指令!
MOV DPTR,#0003H;低8位的03H实际为RRA指令(操作码03H)!!!
NEXT:
MOVC A,@A+DPTR
MOV P3,A
LCALL XXXXH;
可以看出,2个功能相同的指令后者很简化,当然那个03H实际存在的概率几乎是没有的
估计会有人说,为什么标准程序样例不像如下所示???
MOV DPTR,#0003H;外部中断0入口地址
JZ NEXT;
MOV DPTR,#0013H;外部中断1入口地址
RRA;
NEXT:
MOVC A,@A+DPTR
MOV P3,A;
LCALL XXXXH;
虽然它不如2精简,但却通用许多,而且条理清晰,至少RRA让人看的很明白。
问题很好也不错,所有逆向工程正是利用了人们善良带来的漏洞予以攻击。成功率几乎为100%.
因为逆向工程利用二次扫描技术实现代码和数据的剥离,对于剩下的数据区再多次攻击(虚拟机)
直到逆向到满意的代码和数据的剥离结果。
对2的攻击会带来以下2种程序源码。
3.当ACC为零时可等效为下列指令序列
MOV A,#00H
MOV DPTR,#0013H
SJMP NEXT1;
NEXT1:
MOV DPTR,#0003H
NEXT:
MOVC A,@A+DPTR
MOV P3,A
LCALL 0000H;
4.当ACC非零时可等效为下列指令序列
MOV A,#0FFH
MOV DPTR,#0013H
SJMP NEXT1;
DW 9000H;其中90H为MOV DPTR,#00XXH的操作码
NEXT1:
RRA;利用数据藏代码
NEXT:
MOVC A,@A+DPTR
MOV P3,A
LCALL 0000H;
而实际上我们的1个程序却同时需要这2个源码,因为ACC总存在0和非0两种状态。
所以暴力反汇编经常会出现以下的结果
5.
MOV DPTR,#0013H
JNZ NEXT;
DW 9000H;这个对于搞过反汇编或熟悉51指令集的人才知道是残缺的MOV DPTR,#00XXH
NEXT:
RRA
MOVC A,@A+DPTR
MOV P3,A
LCALL XXXXH;
当如像64K大的程序时,要有多少个象5一样不解的结果呀。
不管是用什么法则,如果采用暴力反汇编生成的代码肯定不会全对。甚至导致编译失败!!!
而遵守扫描法则的反汇编都将2判定为非法代码序列。直接做为数据处理。这类反汇编出来的
汇编代码将会100%的通过汇编器的重新编译!!!
菜农的超级反汇编软件就是遵从了这一原则可以逆向任何“守法代码”。
故认为使用以下雷同的代码来保护后跟的代码和数据
如6:
JNZ $+3;肯定运行NOP;LCALL DO_CRC;
DW 1200H;低8位为NOP指令
LCALL DO_CRC;CRC校验,最终正确结果CRC=0(注意这个0将会被多次使用)
例如都用这样带有指令歧义的分支代码来保护,那么遵循任何法则的逆向工程每个分支都应该
提供2个程序清单。
假使有3个带有指令歧义分支的的程序,应该最多提供4份程序清单。
在这个分支时,用第1份看,这那个分支用第N份看,....晕否???
菜农在这里不谈如何破译,而是“代码隐身”,就和以前的“中断隐身”类同。
从以上分析,特别是2给我们的启示,实际上程序飞也是个“代码隐身”的问题。
“代码隐身”可以根据分支的条件将代码重新组合,而程序飞也是PC值突变脱离了我们正常代码
序列的范围,如进入数据区或代码区指令的操作数1或操作数2。
这就是为什么程序飞工作运行的莫名其妙的原因之所在。因为它是不可控的毫无任何规律可寻的。
所有我们适当地采用例2的保护方法,将会使逆向工作更加困难,让他们和“程序飞”打交道吧...
菜农 HotPower@126.com 2007.11.16 于西安大雁塔菜地
相关链接:https://bbs.21ic.com/club/bbs/bbsview.asp?boardid=11&t=2755622&tp=%B2%CB%C5%A9%B5%C4%BC%D3%C3%DC%C0%ED%C2%DB%2D%2D%2D%CC%EC%CF%C2%CE%DE%D4%F4%C2%DB |
楼主
标题置顶
标题高亮
