Document
 
 
 
 

Реклама на сайте  

косметология спб
чистка лица спб
массаж лица спб
смас лифтинг цена спб
клиника косметологии спб
смас лифтинг спб
smas лифтинг спб
чистка лица спб цены
лечебный массаж спины спб
массаж лица спб цены
косметология санкт петербург
фотоэпиляция спб
плазмолифтинг спб
чистка лица санкт петербург
плазмолифтинг цена спб
биоревитализация спб
студия массажа лица спб
контурная пластика спб
биоревитализация лица спб
клиника косметологии санкт петербург
рф лифтинг спб цены
rf лифтинг санкт петербург
рф лифтинг спб
биоревитализация спб цена
массаж лица санкт петербург
лечебный массаж спины спб цены
удаление пигментных пятен спб
криомассаж лица цена спб
удаление татуажа спб
смас лифтинг санкт петербург
криомассаж лица спб
rf-лифтинг спб
rf лифтинг спб
снять квартиру в сочи
снять квартиру в адлере
снять квартиру в хосте
снять квартиру в дагомысе
снять квартиру в сочи
снять квартиру в адлере
снять квартиру в хосте
снять квартиру в дагомысе
снять квартиру в москве
купить квартиру в москве
заказать продвижение сайта
как заработать деньги в интернете
пилинг спб

 
 
 
 

Kris Kaspersky


Тонкости дизассемблирования

ДИЗАССЕМБЛИРОВАНИЕ В УМЕ

Мне известны политические аргументы,

Но меня интересуют человеческие доводы.

Ф. Херберт. «Мессия Дюны»

Очень часто под рукой не оказывается ни отладчика, ни дизассемблера, ни даже компилятора, чтобы набросать хотя бы примитивный трассировщик. Разумеется, что говорить о взломе современных защитных механизмов в таких условиях просто смешно, но что делать если жизнь заставляет?

Предположим, что у нас есть простейший шестнадцатеричный редактор, вроде того, который встроен в DN и, если очень повезет, то debug.com, входящий в поставку Windows и часто остающийся не удаленным владельцами машины. Вот этим-то мы и воспользуемся. Сразу оговорюсь, что все описанное ниже требует для своего понимания значительного упорства, однако, открывает большие практические возможности. Вы сможете, например, поставить на диск парольную защиту, зашифровать несколько секторов, внести вирус или разрушающую программу и все это с помощью «подручных» средств, которые наверняка окажутся в вашем распоряжении.

Должен напомнить вам, что многие из описываемых действий в зависимости от ситуации могут серьезно конфликтовать с законом. Так, например, разрушение информации на жестком диске может повлечь за собой большие неприятности. Не пытайтесь заняться шантажом. Если вы можете зашифровать жесткий диск и установить на него пароль, то это еще не означает, что потом за сообщение пароля можно ожидать вознаграждения, а не нескольких лет тюремного заключения.

Поэтому все нижеописанное разрешается проделывать только над своим собственным компьютером или с разрешения его владельца. Если вы соглашаетесь с данными требованиями, то приступим.

СТРУКТУРА КОМАНД INTEL 80x86

Потому ты и опасен, что овладел своими страстями…

Ф. Херберт. «Мессия Дюны»

Дизассемблирование (особенно в уме) невозможно без понимания того, как процессор интерпретирует команды. Конечно, можно просто запомнить все опкоды (коды операций) команд и записать их в таблицу, которую потом выучить наизусть, но это не самый лучший путь. Уж слишком много придется зубрить. Гораздо легче понять, как стояться команды, чтобы потом с легкостью манипулировать ими.

Для начала разберемся с форматом инструкций архитектуры Intel (рис. 1).


Тонкости дизассемблирования - any2fbimgloader0.jpeg

Заметим, что кроме поля кода операции все остальные поля являются необязательными, т.е. в одних командах могут присутствовать, а в других нет.

Само поле кода занимает восемь бит и часто (но не всегда) имеет следующий формат (рис. 2):


Тонкости дизассемблирования - any2fbimgloader1.jpeg

Поле размера равно нулю, если операнды имеют размер один байт. Единичное значение указывает на слово (двойное слово в 32-битном или с префиксом 0х66 в 16-битном режиме).

Направление обозначает операнд-приемник. Нулевое значение присваивает результат правому операнду, а единица левому. Рассмотрим это на примере инструкции mov bx,dx:


Тонкости дизассемблирования - any2fbimgloader2.jpeg

Если теперь флаг направления установить в единицу, то произойдет следующие:


Тонкости дизассемблирования - any2fbimgloader3.jpeg

Не правда ли, как по мановению волшебной палочки мы можем поменять местами операнды, изменив всего один бит? Однако, давайте задумаемся, как это поле будет вести себя, когда один из операндов непосредственное значение? Разумеется, что оно не может быть приемником и независимо от содержимого этого бита будет только источником. Инженеры Intel учили такую ситуацию и нашли оригинальное применение, часто экономящее в лучшем случае целых три байта. Рассмотрим ситуацию, когда операнду размером слово или двойное слово присваивается непосредственное значение по модулю меньшее 0100h. Ясно, что значащим является только младший байт, а стоящие слева нули по правилам математики можно отбросить. Но попробуйте объяснить это процессору! Потребуется пожертвовать хотя бы одним битом, что бы указать ему на такую ситуацию. Вот для этого и используется бит направления. Рассмотрим следующую команду:


Тонкости дизассемблирования - any2fbimgloader4.jpeg

Таким образом, мы экономим один байт в 16-разрядном режиме и целых три — в 32-разрядом. Этот факт следует учитывать при написании самомодифицирующегося кода. Большинство ассемблеров генерируют второй (оптимизированный) вариант, и длина команды оказывается меньше ожидаемой. На этом, кстати, основан очень любопытный прием против отладчиков. Посмотрите на следующий пример:


Тонкости дизассемблирования - any2fbimgloader5.jpeg

То есть, текущая команда станет на байт короче! И «отрезанный» ноль теперь стал частью другой команды! Но при выполнении на «живом» процессоре такое не произойдет, т.к. следующие значение iр вычисляется еще до выполнения команды на стадии ее декодирования.

Совсем другое дело отладчики, и особенно отладчики-эмуляторы, которые часто вычисляют значение iр после выполнения команды (это легче запрограммировать). В результате чего наступает крах. Маленькая тонкость — до или после оказалась роковой, и вот вам в подтверждение дамп экрана:


Тонкости дизассемблирования - any2fbimgloader6.jpeg

Заметим, что этот прием может быть бессилен против трассирующих отладчиков (debug.com, DeGlucker, Cuр386), поскольку значение iр за них вычисляет процессор и делает это правильно.

Однако, на «обычные» отладчики управа всегда найдется (см. соответствующую главу), а с эмуляционными справиться гораздо труднее, и приведенный пример один из немногих, способных возыметь действие на виртуальный процессор.

Перейдем теперь к рассмотрению префиксов. Они делятся на четыре группы:


блокировки и повторения:

Тонкости дизассемблирования - any2fbimgloader7.jpeg

Если используется более одного префикса из той же самой группы, то действие команды не определено и по-разному реализовано на разных типах процессоров.

Префикс переопределения размера операндов используется в 16-разрядном режиме для манипуляции с 32-битными операндами и наоборот. При этом он может стоять перед любой командой, например x66:CLIбудет работать! А почему бы и нет? Интересно, но отладчики этого не учитывают и отказываются работать. То же относиться и к дизассемблерам, к примеру IDA Pro:


Тонкости дизассемблирования - any2fbimgloader8.jpeg

На этом же основан один очень любопытный прием противодействия отладчикам, в том числе и знаменитому отладчику-эмулятору cuр386. Рассмотрим, как работает конструкция x66:RETN. Казалось бы, раз команда RETN не имеет операндов, то префикс x66 можно просто игнорировать. Но, на самом деле, все не так просто. RETN работает с неявным операндом-регистром iр/eiр. Именно его и изменяет префикс. Разумеется, в реальном и 16-разрядном режиме указатель команд всегда обрезается до 16 бит, и поэтому, на первый взгляд, возврат сработает корректно. Но стек-то окажется несбалансированным! Из него вместе одного слова взяли целых два! Так нетрудно получить и исключение 0Ch — исчерпание стека. Попробуйте отладить чем-нибудь пример crack1E.com — даже cuр386 во всех режимах откажется это сделать, а Turbo-Debuger вообще зависнет! IDA Pro не сможет отследить стек, а вместе с ним все локальные переменные.



1 2 3 > >>

   
Document
   
© читать онлайн,читать онлайн бесплатно
Document

косметология спб
чистка лица спб
массаж лица спб
смас лифтинг цена спб
клиника косметологии спб
смас лифтинг спб
smas лифтинг спб
чистка лица спб цены
лечебный массаж спины спб
массаж лица спб цены
косметология санкт петербург
фотоэпиляция спб
плазмолифтинг спб
чистка лица санкт петербург
плазмолифтинг цена спб
биоревитализация спб
студия массажа лица спб
контурная пластика спб
биоревитализация лица спб
клиника косметологии санкт петербург
рф лифтинг спб цены
rf лифтинг санкт петербург
рф лифтинг спб
биоревитализация спб цена
массаж лица санкт петербург
лечебный массаж спины спб цены
удаление пигментных пятен спб
криомассаж лица цена спб
удаление татуажа спб
смас лифтинг санкт петербург
криомассаж лица спб
rf-лифтинг спб
rf лифтинг спб
пилинг спб антицеллюлитный массаж томск
массаж томск
лимфодренажный массаж томск
антицеллюлитный массаж томск
классический массаж томск
коррекция фигуры томск
ремонт телевизоров москва
ремонт пылесосов москва
ремонт кофемашин москва
ремонт самсунг москва
ремонт микроволновки москва
ремонт samsung москва
ремонт парогенераторов москва
ремонт насосных станций москва
ремонт борк москва
ремонт delonghi москва
Ремонт dyson москва
ремонт пылесосов dyson москва
ремонт дайсон москва
ремонт бытовой техники
ремонт бытовой техники москва
ремонт телевизоров москва
ремонт пылесосов москва
ремонт кофемашин москва
ремонт самсунг москва
ремонт микроволновки москва
ремонт samsung москва
ремонт парогенераторов москва
ремонт насосных станций москва
ремонт борк москва
ремонт delonghi москва
Ремонт dyson москва
ремонт пылесосов dyson москва
ремонт дайсон москва
ремонт бытовой техники
ремонт бытовой техники москва
ремонт телевизоров москва
ремонт пылесосов москва
ремонт кофемашин москва
ремонт самсунг москва
ремонт микроволновки москва
ремонт samsung москва
ремонт парогенераторов москва
ремонт насосных станций москва
ремонт борк москва
ремонт delonghi москва
Ремонт dyson москва
ремонт пылесосов dyson москва
ремонт дайсон москва
ремонт бытовой техники
ремонт бытовой техники москва
ремонт телевизоров москва
ремонт пылесосов москва
ремонт кофемашин москва
ремонт самсунг москва
ремонт микроволновки москва
ремонт samsung москва
ремонт парогенераторов москва
ремонт насосных станций москва
ремонт борк москва
ремонт delonghi москва
Ремонт dyson москва
ремонт пылесосов dyson москва
ремонт дайсон москва
ремонт бытовой техники
ремонт бытовой техники москва
маникюр
педикюр
маникюр краснодар
педикюр краснодар
нейл сервис
ногтевой сервис
салон красоты
салон красоты краснодар
коррекция бровей краснодар
маникюр
педикюр
маникюр краснодар
педикюр краснодар
нейл сервис
ногтевой сервис
салон красоты
салон красоты краснодар
коррекция бровей краснодар
маникюр
педикюр
маникюр краснодар
педикюр краснодар
нейл сервис
ногтевой сервис
салон красоты
салон красоты краснодар
коррекция бровей краснодар
LPG москва
LPG массаж москва
аппаратный массаж москва
коррекция фигуры москва
лазерная эпиляция москва
коррекция фигуры москва митинская
лазерная эпиляция москва митинская
прессотерапия москва митино
прессотерапия москва
прессотерапия москва митинская
натуральная косметика
эко товары
эко продукты
магазин эко товаров
одежда из льна
парфюмерия
косметика
парфюмерия и косметика
селективная парфюмерия
селективные духи
эксклюзивная косметика
натуральная косметика самара
эко товары самара
эко продукты самара
магазин эко товаров самара
одежда из льна самара
парфюмерия самара
косметика самара
парфюмерия и косметика самара
селективная парфюмерия самара
селективные духи самара
эксклюзивная косметика самара
капучино краснодар
латте краснодар
эспрессо краснодар
эспрессо
кофе с собой
кофе с собой краснодар
кальянная краснодар
лаунж бар краснодар
кальянная краснодар круглосуточно
кальянная лаунж
заказ пиццы выборг
суши выборг на заказ
суши wok
заказать пиццу в выборге
заказать пиццу в выборге с доставкой
суши выборг телефон
суши бар в выборге
пицца выборг телефон
рис и рыба суши выборг
рис и суши выборг
заказать суши в выборге
суши роллы выборг
суши выборг