Disassembling terabytes of random data with Zig and Capstone to prove a point
6 months ago
- #Zig
- #DEFLATE
- #ARM
- 文章讨论了一个关于在随机字节流中发现ARM(Thumb模式)指令与DEFLATE压缩的Thumb指令可能性的分歧。
- 作者认为由于Thumb指令的高代码密度,随机字节更可能包含有效的Thumb指令而非能解压出Thumb指令的有效DEFLATE流。
- 实验结果显示,成功反汇编的概率比成功解压高出125倍以上,比解压后反汇编成功的情况高出350倍以上。
- 约89.3%的2字节序列和85.5%的4字节序列可反汇编为有效的Thumb指令,表明其代码密度极高。
- DEFLATE解压失败主要源于无效头标或霍夫曼树错误,随机字节的解压成功率仅为0.5%。
- 作者使用Zig语言和Capstone工具进行蒙特卡洛模拟,证明Thumb指令比包含Thumb指令的压缩数据更易出现在随机字节中。
- 文章总结指出,Thumb指令具有极高的代码密度,使得其在随机字节序列中出现的概率远高于包含Thumb指令的压缩数据。