人よ、幸福に生きよ

1. 搞乱”控制流”——让工具判断错”往哪儿走”#

比如很经典的一种：

1
jmp short $-1   ; EB FF  → 无限自跳，死循环
2
; 后面其实还有一大段正常代码

CPU 真实执行： 跳到自己这条指令，又跳回来 → 死循环，后面的代码根本不会被执行。

反汇编器视角： 它沿着控制流往下分析，看到 jmp，就认为：“后面这条指令永远执行不到，是不可达的”。于是后面真正有用的代码，被当成”数据”或”垃圾”直接忽略；函数边界、控制流图全乱。

再加上各种”假跳转""永远不会成立的条件分支”（所谓 opaque predicate，永真/永假的条件判断），就可以让 IDA 一会觉得往左走，一会觉得往右走，分析路线被拧成麻花。

2. 搞乱”指令边界”——让工具把数据当代码、代码当数据#

反汇编有两种常见策略：

• 线性扫（linear sweep）：从某个起点一个字节一个字节往下解码；
• 递归下降（recursive descent）：从入口跟着跳转走，只解自己认为”能到达”的地址。

花指令可以故意制造重叠指令或”伪代码”：

1
db 0x90, 0x90, 0x90, 0xE8, 0xAA, 0xBB, 0xCC, 0xDD
2
; 这一串既可以被解释成一堆 NOP + CALL
3
; 也可以被解释成完全不同的几条指令

CPU 只按真实执行路径那一种解码；但反汇编器如果从”错的边界”开始解，就会得到一堆看似莫名其妙的指令；再加上一些奇怪的 jmp / call，就会导致函数被切成多段，伪代码特别割裂。

3. 搞乱”函数识别”——工具找不到 main / check_flag 的真身#

像 IDA 识别函数的时候，会用一些套路：

• 看是否有典型的函数前言（push rbp; mov rbp, rsp）；
• 看有没有被 call 引用；
• 看返回前是否有 leave; ret 等模式。

花指令可以：

• 在函数中部插入奇怪的 ret / jmp / “假 call”，
• 让 IDA 以为”这里是函数结尾了 / 这里是新函数开始”，

最后结果：一个本来很简单的 check_flag，被拆成 5~6 个小函数；xref 图一片乱麻，伪代码怎么看都不成体系；你就会感觉：“怎么没有地方在真正比较 flag？“——其实比较逻辑是有的，只是被撕碎了。