Byte donné est-il un opcode ?
cs_Telepathmaster
Messages postés
46
Date d'inscription
vendredi 31 octobre 2003
Statut
Membre
Dernière intervention
7 août 2008
-
24 mars 2008 à 17:11
cs_Telepathmaster Messages postés 46 Date d'inscription vendredi 31 octobre 2003 Statut Membre Dernière intervention 7 août 2008 - 24 mars 2008 à 20:51
cs_Telepathmaster Messages postés 46 Date d'inscription vendredi 31 octobre 2003 Statut Membre Dernière intervention 7 août 2008 - 24 mars 2008 à 20:51
3 réponses
cs_juju12
Messages postés
966
Date d'inscription
samedi 3 avril 2004
Statut
Membre
Dernière intervention
4 mars 2010
4
24 mars 2008 à 20:37
24 mars 2008 à 20:37
Je dirais que vu le nombre de codes utilisés, sans compter les arguments qui se promènent avec (offsets de sauts, valeurs de masques/tests...), toute suite de nombres a de grandes chances de pouvoir être traduite en suite d'opérations...
Tu pourrais peut-être cependant essayer de voir si ta suite contient un plus grand nombre de codes correspondant à certaines instructions plus courantes (mov,...), mais là encore comme ces instructions mobilisent un grand nombre de codages (j'en compte au moins 15 pour mov par exemple)...
Je crois que les antivirus recherchent plutôt des séquences de code précises revenant souvent dans les virus (tâches primitives) mais il y en a plein donc c'est un travail de longue haleine...
Tu pourrais peut-être cependant essayer de voir si ta suite contient un plus grand nombre de codes correspondant à certaines instructions plus courantes (mov,...), mais là encore comme ces instructions mobilisent un grand nombre de codages (j'en compte au moins 15 pour mov par exemple)...
Je crois que les antivirus recherchent plutôt des séquences de code précises revenant souvent dans les virus (tâches primitives) mais il y en a plein donc c'est un travail de longue haleine...
cs_Telepathmaster
Messages postés
46
Date d'inscription
vendredi 31 octobre 2003
Statut
Membre
Dernière intervention
7 août 2008
24 mars 2008 à 20:48
24 mars 2008 à 20:48
Oui mais le travail à effectuer est différent de celui d'un antivirus (en analyse de bytecodes, on ne peut pas parler signatures).
En tout cas, pour ce qui est de la taille, tu as sûrement raison (bien qu'il ne soit pas nécessaire de compter les arguments). A priori je vais essayer d'analyser avec des instructions connues, car le type de code que je dois analyser n'a pas des combinaisons infinies.
Merci en tout cas.
---
Page personnelle : http://www.bases-hacking.org/CV
En tout cas, pour ce qui est de la taille, tu as sûrement raison (bien qu'il ne soit pas nécessaire de compter les arguments). A priori je vais essayer d'analyser avec des instructions connues, car le type de code que je dois analyser n'a pas des combinaisons infinies.
Merci en tout cas.
---
Page personnelle : http://www.bases-hacking.org/CV
cs_Telepathmaster
Messages postés
46
Date d'inscription
vendredi 31 octobre 2003
Statut
Membre
Dernière intervention
7 août 2008
24 mars 2008 à 20:51
24 mars 2008 à 20:51
Ou je vais plutôt prendre le problème dans l'autre sens, à savoir étudier ce qui fait qu'une instruction est illégale pour Intel.
---
Page personnelle : http://www.bases-hacking.org/CV
---
Page personnelle : http://www.bases-hacking.org/CV
