Bonjour,

Dans une série de bytes donnée, j'aimerai déterminer la probabilité de cette suite d'être exécutable. Entre autres, j'aimerais déterminer si certains bytes sont des opcodes ou non. Je travaille sous Linux & Intel 32 bits. Si une éventuelle solution n'est pas portable, ce n'est pas grave.

Merci d'avance

Je dirais que vu le nombre de codes utilisés, sans compter les arguments qui se promènent avec (offsets de sauts, valeurs de masques/tests...), toute suite de nombres a de grandes chances de pouvoir être traduite en suite d'opérations...
Tu pourrais peut-être cependant essayer de voir si ta suite contient un plus grand nombre de codes correspondant à certaines instructions plus courantes (mov,...), mais là encore comme ces instructions mobilisent un grand nombre de codages (j'en compte au moins 15 pour mov par exemple)...
Je crois que les antivirus recherchent plutôt des séquences de code précises revenant souvent dans les virus (tâches primitives) mais il y en a plein donc c'est un travail de longue haleine...

Oui mais le travail à effectuer est différent de celui d'un antivirus (en analyse de bytecodes, on ne peut pas parler signatures).
En tout cas, pour ce qui est de la taille, tu as sûrement raison (bien qu'il ne soit pas nécessaire de compter les arguments). A priori je vais essayer d'analyser avec des instructions connues, car le type de code que je dois analyser n'a pas des combinaisons infinies.

Merci en tout cas.


---
Page personnelle : http://www.bases-hacking.org/CV

Ou je vais plutôt prendre le problème dans l'autre sens, à savoir étudier ce qui fait qu'une instruction est illégale pour Intel.

---
Page personnelle : http://www.bases-hacking.org/CV