花指令学习

本文最后更新于:2021年5月31日 下午

编写花指令

如果我们在写程序的时候嵌入_asm _emit 0E9,反编译器就会把下一条指令当做地址数据,不管下一条指令实际上的四个字节是地址数据还是操作指令。

win下:

1
2
3
4
5
6
__asm { 
    _emit 075h    #jmp $+4
    _emit 2h
    _emit 0E9h
    _emit 0EDh
}

Linux下:

1
2
3
4
asm __volatile__ (".byte 0x75");
asm __volatile__ (".byte 0x2");
asm __volatile__ (".byte 0xe9");
asm __volatile__ (".byte 0xed");

上面嵌入的4字节数据即可使得程序反汇编反编译出错,注意这里的75是jnz的机器码,所以要求程序执行到这里时Zflag=0。

笔记 逆向
逆向

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!