Обфускация и ее преодоление
          

код после обфускации


Еще обфускаторы могут временно сохранять регистр на стеке, а затем вволю "поизмывавшись" над ним, восстанавливать прежнее значение.

001B:0043402C  50          PUSH   EAX           ; сохраняем eax

001B:0043402D  51          PUSH   ECX           ; сохраняем ecx

001B:0043402E  EB0F        JMP    0043403F

001B:0043403F  F2EBF5             REPNZ JMP 00434037

001B:00434037  EB0F        JMP    00434048

001B:00434048  EBE9        JMP    00434033

001B:00434033  B8EB07B9EB  MOV    EAX,EBB907EB  ; "гадим" в eax

001B:0043403B  08FD        OR     CH,BH         ; "гадим" в ch

001B:0043403D  EB0B        JMP    0043404A

001B:0043404A  F3EBE4             REPZ   JMP 00434031

001B:00434031  EB0F        JMP    00434042

001B:00434042  EBF6        JMP    0043403A

001B:0043403A  EB08        JMP    00434044

001B:00434044  F2EB08             REPNZ  JMP 0043404F

001B:0043404F  59          POP    ECX           ; восстанавливаем ecx

001B:00434050  58          POP    EAX           ; восстанавливаем eax



Содержание раздела



Главная сайта