文章目录
- SMC 自解码
- 什么是SMC?
- 原理
- 示例
- 动调
SMC 自解码
什么是SMC?
简而言之,就是程序中的部分代码在运行之前被加密成一段数据,不可反编译,通过程序运行后执行相关的解码功能,对加密的代码数据进行动态解密,让其恢复正常功能。**这样我们在采用静态分析时,看到的都是加密的内容,从而阻断了静态调试的可能性。**简单理解就是n层解密
(不开玩笑感觉内嵌补丁可以用在这里(菜.jpg)
原理
通过 SMC 自解码技术可以实现程序的保护,同时也可以将一些特征代码变形隐藏
1)代码在二进制文件中就是字节码,本身也就是一段二进制数据
2)提前将一部分代码通过某些方式替换为加密数据
3)程序在被反编译的时候,核心代码就是一串数据,无法反编译,而程序在运行的时候又能成功将这段核心代码复原
示例
上题简单粗暴来理解
题目来源:北邮网安杯 re3
基本流程:32位无壳,丢ida
得知:
1)要求输入的字符串长度为28
2)对一个类似字符串数组的byte_403020进行异或
3)有传参动作,说明这个类似字符串数组的byte_403020其实是个函数
跟进byte_403020:
明显的不是函数,这就是对部分代码进行了加密处理,而异或操作是加密也是解密操作,直接反静态调试,那只能dbg了
动调
调了一下基本理清楚思路了,感觉就是套娃,明天继续写