系統安全3 花指令在免殺中的應用

2022-01-24 09:11:27 字數 1355 閱讀 5657

花指令就是一段本可以不存在的指令,存在的唯一目的就是掩蓋程式中的一些東西。

程式正常執行時完全可以不需要的,人們可以加進去的一段**,或是刻意修改程式流程的一段**。

80x86指令系統大致刻意分為以下5個功能組:

這一小節主要通過例子演示通過反彙編新增功能。

實行以上幾步操作後,在程式執行前其實是先執行了我們所加入的**。

這裡也會涉及乙個知識點,stdcall,cdcel的知識

結合前面修改入口點的知識,這一小節的知識是從本書中【空白區域跳轉法】免殺方法延伸而來。在入口點跳轉的過程中新增了花指令做混淆。

常用的花指令組合

nop         ; 空指令,無作用

pop 0 ;將0彈出堆疊

pop 0 ;將0彈出堆疊

push ebp ;將ebp壓入堆疊

pop ebp ;將ebp彈出堆疊

add esp,1 ;將esp加1

sub esp,1 ;將esp減1

add esp,1 ;將esp加1

add esp,-1 ;將esp加-1

sub esp,1 ;將esp減1

sub esp,-1 ;將esp減-1

inc ecx ;ecx加1

dec ecx ;ecx減1

sub eax,-2 ;將eax減去-2,其實也就是加上2

dec eax ;將eax的計數器減1

dec eax ;將eax的計數器減1

push ****** ;將入口位址壓入棧

retn ;再返回到入口位址

mov eax,****** ;將入口位址傳送到資料暫存器中

jmp eax ;跳到程式入口位址

seh異常也叫做「結構化異常處理」,是系統提供的乙個服務。

當系統檢測到異常時,它馬上會將發生異常的程式掛起,並交由系統特定的除錯程式來處理,當程式執行流程已經轉移到系統上,而程式又執行起來。那麼就會使程式的執行流程產生更大的迷惑性。

push *******                 ;位址*******壓入堆疊

mov eax,dword ptr fs:[0] ;fs[0]壓入堆疊,執行完成後,fs[0]指向棧頂

push eax

mov dword ptr fs:[0],esp ;構造1個err結構

nop

vxdcall 134543

[分享]反除錯跟蹤的一點心得

黑客免殺攻防筆記

seh異常

系統安全管理

1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...

系統安全 Firewall

netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...

系統安全加固

系統安全加固 1.密碼策略 修改系統的密碼策略 1 經常修改密碼 2 使用一些特殊的字元和密碼的長度增加 密碼的難度 3 不要隨便告訴他人密碼 2.許可權 ugo 鎖定系統中不必要的系統使用者和組 鎖定下列使用者,鎖定之前備份 etc passwd 和 etc shadow 檔案 禁用無關的組 禁止...