Представлен репозиторий под названием Ghost in opcode, который содержит Proof-of-Concept и исследование 25-летней архитектурной «слепой зоны» (Blind Spot), влияющей на современные инструменты реверс-инжиниринга.
В 1997 году компания Intel запатентовала (US5,701,442) серию «подсказываемых NOP-команд». Хотя большинству из них были назначены функции или они были правильно проанализированы, два опкода — 0F 1A и 0F 1B — остаются призраками в машине (ghosts in the machine).
Процессоры выполняют эти инструкции как допустимые многобайтовые NOP-команды. Однако ведущие дизассемблеры, такие как IDA Pro, Ghidra и Binary Ninja, не распознают их. Они интерпретируют допустимый исполняемый код как неизвестные данные, нарушая статический анализ и создавая простой, но высокоэффективный метод противодействия дизассемблированию. Эта фундаментальная проблема оставалась практически незамеченной на протяжении десятилетий.
Документация с исследованиемИсточник: habr.com