Byte donné est-il un opcode ?

Signaler
Messages postés
46
Date d'inscription
vendredi 31 octobre 2003
Statut
Membre
Dernière intervention
7 août 2008
-
Messages postés
46
Date d'inscription
vendredi 31 octobre 2003
Statut
Membre
Dernière intervention
7 août 2008
-
Bonjour,

Dans une série de bytes donnée, j'aimerai déterminer la probabilité de cette suite d'être exécutable. Entre autres, j'aimerais déterminer si certains bytes sont des opcodes ou non. Je travaille sous Linux & Intel 32 bits. Si une éventuelle solution n'est pas portable, ce n'est pas grave.

Merci d'avance

3 réponses

Messages postés
966
Date d'inscription
samedi 3 avril 2004
Statut
Membre
Dernière intervention
4 mars 2010
4
Je dirais que vu le nombre de codes utilisés, sans compter les arguments qui se promènent avec (offsets de sauts, valeurs de masques/tests...), toute suite de nombres a de grandes chances de pouvoir être traduite en suite d'opérations...
Tu pourrais peut-être cependant essayer de voir si ta suite contient un plus grand nombre de codes correspondant à certaines instructions plus courantes (mov,...), mais là encore comme ces instructions mobilisent un grand nombre de codages (j'en compte au moins 15 pour mov par exemple)...
Je crois que les antivirus recherchent plutôt des séquences de code précises revenant souvent dans les virus (tâches primitives) mais il y en a plein donc c'est un travail de longue haleine...
Messages postés
46
Date d'inscription
vendredi 31 octobre 2003
Statut
Membre
Dernière intervention
7 août 2008

Oui mais le travail à effectuer est différent de celui d'un antivirus (en analyse de bytecodes, on ne peut pas parler signatures).
En tout cas, pour ce qui est de la taille, tu as sûrement raison (bien qu'il ne soit pas nécessaire de compter les arguments). A priori je vais essayer d'analyser avec des instructions connues, car le type de code que je dois analyser n'a pas des combinaisons infinies.

Merci en tout cas.

---
Page personnelle : http://www.bases-hacking.org/CV
Messages postés
46
Date d'inscription
vendredi 31 octobre 2003
Statut
Membre
Dernière intervention
7 août 2008

Ou je vais plutôt prendre le problème dans l'autre sens, à savoir étudier ce qui fait qu'une instruction est illégale pour Intel.

---
Page personnelle : http://www.bases-hacking.org/CV