合法代码中出现 0x90 (NOP) 序列

Question

背景： 我编写了一个 python 脚本来检查 IP 数据包，特别是数据包的有效负载/数据，以检测它是否可以用于缓冲区（堆栈）溢出。现在，据我了解，NOP 雪橇用于填充堆栈，以便指令指针最终会遇到您的漏洞利用代码，我可以通过查找重复出现的 0x90 轻松检测到这一点。我见过包含大量 NOP 命令的代码，在 SQL slammer 的情况下，NOP 命令少至 8 个，因此我也许至少可以使用 8 个。

现在我的问题是，NOP sled 是否经常在合法代码中使用？如果答案是肯定的，是否存在一些特定情况（这意味着我可以查找这些情况，然后将数据包排除为潜在无害），或者这种方法对于识别恶意代码来说不实用？

Answer 1

我刚刚查看了我编译的最后一个二进制文件（Linux 上的非恶意 x86 代码），并发现：

016b5e0 458b c9ec 90c3 9090 9090 9090 9090 9090

我认为您可以得出结论，找到重复的 0x90 序列并不一定表明存在恶意意图。

Answer 2

编译器将生成 NOP 来对齐代码 - 例如，在 x86 的某些迭代中，如果跳转目​​标与 4、8 甚至 16 字节边界对齐，则跳转执行速度会更快。

一些编译器尝试在可能的情况下使用“长 NOP”——占用多个字节空间的单个指令，并且可能正式执行某些操作，但对处理器状态没有影响——就像某些 x86 架构的迭代速度更快。例如，66 90 是一个两字节的 NOP，8d 74 26 00 是一个四字节的 NOP（技术上 lea 0(%esi,%eiz ,1),%esi，但正如您所看到的，只是将 %esi 中的值复制到自身，因此没有任何效果）。然而，这些并不能在所有情况下使用，而且在某些 x86 上最快的序列在其他 x86 上却经常慢，令人沮丧。我还没有阅读当前的微优化指南，但如果 Intel 和 AMD 正在努力使一串 90 成为执行长 NOP 的最快方法，并且有他们的编译器匹配。

Answer 3

来自维基百科：

NOP 最常用于计时目的，以强制内存
对齐，以防止危险，占用分支延迟槽，或作为
占位符稍后在程序中被活动指令替换
开发（或在重构时替换已删除的指令
有问题或耗时）。在某些情况下，NOP 可能有轻微的
副作用；例如，在 Motorola 68000 系列处理器上，
NOP 操作码将导致管道同步。

此外，可以想象，编译器可能会使用 0x90 作为未初始化数组的填充符，以防数组中的数据被解释为操作码，它不会执行任何操作。您会在 Visual Studio 中看到类似的效果，它用 0xCC 填充未初始化的数组，即 int 3 ，导致断点停止。

此外，可执行文件中的任何数据都可以包含任意数量的0x90，并且区分它和代码可能并不简单。