КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Использование недокументированных инструкций и недокументированных возможностей процессора
|
|
|
|
Пример
Пример
00000100: 810600010200 add word ptr [100], 01
00000106: B406 mov ah,06 – прямой ввод через консоль
00000108: B207 mov dl,07
0000010A: CD21 int 21h
0000010C: C3 Ret
В данном примере первая команда модифицирует сама себя и при этом становится на байт короче. Защита основана на том, что при выполнении первой команды, несколько следующих уже загружены в конвейер, и поэтому выполнение первой команды на реальном процессоре их никак не затронет.
В режиме же отладки, достаточно часто адрес следующей команды вычисляется после выполнения предыдущей, и, как правило, отладчики сбрасывают очередь команд на каждом шаге, вызывая трассировочное прерывание.
Если команда cmd1 изменит «образ» команды cmd2, стоящей в очереди в конвейере, на «образ» cmd2', то это никак не отразится на ходе выполнения программы на реальном процессоре, поскольку он перейдёт к исполнению следующей команды из очереди (cmd2). В режиме же трассировки после выполнения команды cmd1 произойдёт вызов трассировочного прерывания. При возврате из прерывания очередь команд сбрасывается и из памяти выбирается модифицированная команда cmd2', что изменяет логику работы программы.
Отладчик «увидит» описанный пример следующим образом:
0100 8106000102 Add word ptr [100], 01
0105 00B406B2 Add [si-4DFA],Dh
0109 07 pop es
010A CD21 int 21h
010C C3 ret
Аналогичный эффект демонстрируется в следующем примере.
mov byte ptr _cmd2,0F9h 0F9h – код операции stc
_cmd2:
clc; clc выполнится без отладчика, stc – под отладчиком
jc tracing
... код «нормального» режима выполнения программы
tracing:
... работа под отладчиком!
В данном примере команда mov byte ptr _cmd2, 0F9h (cmd1) осуществляет замену следующей команды clc (cmd2) на stc (cmd2'). При работе на реальном процессоре вместо команды stc будет выполнена «старая» команда clc, которая к этому моменту уже находится в очереди команд. При выполнении этого фрагмента под отладкой очередь команд будет сброшена и выполнится команда stc, что вызовет переход по метке tracing.
|
|
|
Один из подходов, используемый для затруднения отладки и дизассемблировании программ, заключается в привлечении редко используемых инструкций центрального процессора (ЦП), недокументированных инструкций, или инструкций, имеющих скрытый результат [6]. Не все злоумышленники хорошо знакомы с подобными инструкциями и скрытыми возможностями ЦП, что затрудняет исследование ими программ. Недостаток данных методов – жёсткая привязка к процессору. Кроме этого, не гарантируется поддержка недокументированных инструкций в будущих процессорах, а значит совместимость с ними разработанных защит.
Достаточно часто для защиты программного обеспечения от исследования используют недокументированное использование префиксов инструкций.
Префиксы в кодах инструкций делятся на следующие типы:
1. Префиксы блокировки и повторения – говорят о том, что код инструкции относится к действиям блокировки или повторения.
2. Префиксы переопределения сегмента – указывают на то, с каким сегментом должна осуществляться работа команды. Соответствие между значениями префиксов и сегментами приведено в таблице 14.
Табл. 14. Соответствия префиксов и кодируемых ими сегментов
| Значение префикса | Сегмент |
| 2Eh | CS |
| 36h | SS |
| 3Eh | DS |
| 26h | ES |
| 64h | FS |
| 65h | GS |
3. Префиксы переопределения размеров операндов (префикс 66h). Данный префикс используется в 16-разрядном режиме для манипулирования с 32-битными операндами и наоборот.
4. Префиксы переопределения размеров адреса (префикс 67h).
Если в процессорной инструкции используется более одного префикса из одной группы, то её действие документально не определено. Приведём наиболее типичные приёмы использования недокументированных команд и недокументированных возможностей процессора INTEL.
|
|
|
1. Недокументированное использование префикса переопределения размеров операндов. Согласно стандарту он используется только при наличии в команде каких-либо операндов. Однако на практике для реального процессора данный префикс может быть поставлен перед любой командой, и это будет работать на реальном процессоре. Например, реальный процессор примет инструкцию 0x66 CLI (использование префикса перед оператором запрещения прерываний). В связи с тем, что данная возможность не документирована, то, как правило, отладчики и дизассемблеры не принимают подобные инструкции и отказываются корректно интерпретировать подобный код.
2. То же самое следует сказать и про префиксы переопределения размеров адреса. Данные префиксы согласно документации используются только в командах, оперирующих с адресами памяти. Их использование с другими командами не документировано, но процессор будет выполнять эти команды. В качестве примера такой инструкции можно привести инструкцию 0x67 STI.
3. Префиксы переопределения сегментов также могут встречаться перед любой командой, в том числе и в командах, не обращающихся к памяти. Например, команда CS:NOP корректно выполняется, а многие дизассемблеры сбиваются при ее интерпретации.
4. Использование дублирующих префиксов, то есть запись префиксов вида 0x66, 0x66 непосредственно перед командой. Хотя фирма INTEL не гарантирует корректную работу своих процессоров при обнаружении такого рода инструкций, но фактически все процессоры правильно интерпретируют данные ситуации. Иное дело – отладчики и дизассемблеры, которые спотыкаются и начинают некорректно вести себя.
Следует отметить, что процессором INTEL корректно выполняются и инструкции вида DS:FS:CS:Mov ax, [100] (последний префикс перекрывает все остальные), а многие отладчики и дизассемблеры сбиваются при их анализе.
5. Обращение к недокументированным регистрам. В процессорах INTEL регистры в настоящее время кодируются тремя битами следующим образом (таблица 15).
Табл. 15. Кодирование регистров в инструкциях
| Код | Инструкция |
| ES | |
| CS | |
| SS | |
| DS | |
| FS | |
| GS | |
| Зарезервирован | |
| Зарезервирован |
|
|
|
Две последние кодовые комбинации (110 и 111) в настоящее время зарезервированы и не используются. При попытке их использования вызывается исключительная ситуация 06h, которую можно перехватить. Отладчики же и дизассемблеры при встрече с подобными инструкциями начинают вести себя странно и непредсказуемо. Одни не генерируют при этом прерывания, чем и выдают себя, другие начинают некорректно работать. Поведение же дизассемблеров в этом случае тоже разнообразно.
Ниже приведён пример того, как различные дизассемблеры воспринимают подобные инструкции.
| HIEW 8E??? F8 clc C3 retn | Qview 8EF8 mov!s, ax C3 ret | IDA Pro Db 8E Db 0F8 DB C3 |
Несуществующие регистры можно эмулировать в обработчике прерывания int 06h.
|
|
|
|
|
Дата добавления: 2014-01-11; Просмотров: 997; Нарушение авторских прав?; Мы поможем в написании вашей работы!