反-反汇编patch学习

ctfer

最近在学习反-反汇编技巧，以此记录。

仅仅是新手的学习记录，大佬轻喷

ctfer

编写一个测试程序

这个程序没有什么意义，在IDA中把puts函数patch成nop用于添加我们自己的指令

肯定有更好的方法，但是这里只是为了练习

visual studio 2019 preview x64 release编译

#include<stdio.h>#include<stdlib.h>
#include<string.h>
int main(int argc, char** argv) {
    char a;
    system("pause");
    a = getchar();
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    puts("nop me");
    putchar(a);
    system("pause");
    return 0;
}

ctfer

patch过程添加nop

IDA打开，根据字符串找到我们自己的逻辑

把一部分puts("nop me") patch成nop，类似这样，在这些nop中开始表演

ctfer

添加特别的汇编指令

这里现在一堆nop中添加如下的两条指令，来分析一下

call $+5也就是跳转到pop rax，看起来和直接跳到下一条指令没什么区别

但实际上，call会把下一条要执行的指令地址压栈，这里也就是把0x140001035压栈

再pop rax，这时rax就是0x140001035了

调整rax的位置，加上8以后jmp rax，准备跳到原本的指令中

这里rax==0x140001035+8==0x14000103C

patch到这里，保存一下，即附件中的patched1

在IDA中重新打开，调试发现，jmp rax即将跳转到jmp指令的之后的某条指令上

ctfer

添加垃圾指令
为了让反汇编引擎"出错"，我们可以在中间即将跳过的nop中，添加特殊的垃圾指令

比如刚刚动态调试发现会跳转到...03D的位置上，那我们就让03D的指令是jmp到接下来的原程序流程

这里也就是跳转到puts("nop me")

保存一下，作为patched2

可以看到还是可以正常运行的

虽然IDA的反汇编引擎识别的不错，但是F5的结果就有点差了

我们改成0xEB，保存为patched3，重新打开，可以看到IDA的反汇编已经把很多指令识别为数据了

F5后也看不到原本的几个puts("nop me")了

ctfer

让IDA正确分析
本程序中，可以通过动态调试发现jmp rax的目的地，然后从call $+5开始，把这些指令都nop掉，直接jmp 到该去的地址，帮助IDA正确分析

帮助IDA了解哪些是数据、哪些是代码指令，可以用U D C这三个快捷键，应该是undefine,data,code的意思