Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Вылет из дизасемблера

2.9K
01 марта 2006 года
RYM
109 / / 06.06.2005
Однажды мой друг показал мне одну прогу(названия не помню) при попытке дизасемблирования которой дизасм вешался(причем мы пробовали несколько дасмов, в т.ч IDA pro).:)Про анти отладочные средства наверное знает каждый, но такое просто ошарашивает и заставляет задуматся. Мот кто нить слышал про это что нибудь и может скинуть инфу по этому или хотя бы разьяснить, как это организуется?:)
8.4K
02 марта 2006 года
Dian
91 / / 18.02.2006
Похоже дело в ошибках самого дизассемблера. Т. е. нужно знать, какие ситуации он обработать не может.
252
02 марта 2006 года
koderAlex
1.4K / / 07.09.2005
Цитата:
Originally posted by Dian
Похоже дело в ошибках самого дизассемблера. Т. е. нужно знать, какие ситуации он обработать не может.


есть предположение что дизасмы плохо обрабатывают коды с несколькими префиксами .

8.4K
02 марта 2006 года
Dian
91 / / 18.02.2006
Цитата:
Originally posted by koderAlex
есть предположение что дизасмы плохо обрабатывают коды с несколькими префиксами .

Возможно, но в качественных это скорее всего уже зафиксили. Есть предположение, что дизассемблеры плохо обрабатывают фрагменты, не являющиеся кодом, а также файлы с нарушениями формата ( инвалидными секциями и т.п. )

3.8K
02 марта 2006 года
Supervisor
158 / / 29.05.2005
Цитата:
Однажды мой друг показал мне одну прогу(названия не помню)


RYM, может все-таки вспомнишь, что это была за программа? Интересно было бы "пощупать" её руками...

252
02 марта 2006 года
koderAlex
1.4K / / 07.09.2005
решил префиксами побаловаться :)
накатал :
.model tiny
.code
org 100h
start:
db 0f3h
db 0f0h
db 67h
db 66h
db 0ffh
xor eax,eax
end start
откомпилил и открыл в W32dasm v.8.93:
:0001.0100 F3 repz
:0001.0101 F0 lock
:0001.0102 6766FF6633 jmp [esi+33]
:0001.0107 C00000 rol byte ptr [bx+si], 00
:D глюки ,как видно,наличествуют
8.4K
02 марта 2006 года
Dian
91 / / 18.02.2006
koderAlex
Это вылет не только из дизассемблера ;)
2.9K
02 марта 2006 года
RYM
109 / / 06.06.2005
Прога помоему называется WinDefender - что то связанное с администрированием и ограничением доступа к опред. папкам, файлам.Версию точно не помню, но должно быть одна из последних
252
03 марта 2006 года
koderAlex
1.4K / / 07.09.2005
Цитата:
Originally posted by Dian
koderAlex
Это вылет не только из дизассемблера ;)


мне вообще интересно поиграть с очевидно бессмысленными парами префикс-команда :)
интересно подобрать пару которую реальный процессор выполнит , а эмулятор задохнётся :D :P

1.8K
04 марта 2006 года
k3Eahn
365 / / 19.12.2005
Цитата:
Originally posted by RYM
Однажды мой друг показал мне одну прогу(названия не помню) при попытке дизасемблирования которой дизасм вешался(причем мы пробовали несколько дасмов, в т.ч IDA pro).:)Про анти отладочные средства наверное знает каждый, но такое просто ошарашивает и заставляет задуматся. Мот кто нить слышал про это что нибудь и может скинуть инфу по этому или хотя бы разьяснить, как это организуется?:)


Возможно на на данную прогу была навешена защита, которая шаманит с секциями PE-файла(VirtualSize,VirtualOffset и т.д.), либо с директориями данных.
На васме есть статья, где рассматривается подобный случай.
Смотреть здесь

398
06 марта 2006 года
Alexandoros
630 / / 21.10.2005
Цитата:
Originally posted by koderAlex
решил префиксами побаловаться :)
накатал :
.model tiny
.code
org 100h
start:
db 0f3h
db 0f0h
db 67h
db 66h
db 0ffh
xor eax,eax
end start
откомпилил и открыл в W32dasm v.8.93:
:0001.0100 F3 repz
:0001.0101 F0 lock
:0001.0102 6766FF6633 jmp [esi+33]
:0001.0107 C00000 rol byte ptr [bx+si], 00
:D глюки ,как видно,наличествуют



Нету здесь глюков, как дизасм отдизасмил, так оно и на компе исполнятся будет.

2.9K
06 марта 2006 года
RYM
109 / / 06.06.2005
в IDA данный код отборазит след. образом:
seg000:0100 lock rep push large dword ptr [ebx]
15K
21 марта 2006 года
Red Alert
15 / / 19.03.2006
Цитата:
Originally posted by RYM
в IDA данный код отборазит след. образом:
seg000:0100 lock rep push large dword ptr [ebx]



По теме могу сказать, что IDA например на некоторых файлах любит валиться с эксепшеном "division by zero". С файлами не разбирался, но есть устойчивое предположение что IDA пытается выравнивать секции посредством деления, не проверяя на возможность деления на 0.
Еще один глюк на котором валится IDA - это некорректная обработка некоторых случаев размещения Data Image Directory таблиц в PE файле.
Например - для Fixup Table в Data Image Directory указан один размер, а в дескрипторе самой таблицы принципиально другой. IDA при попытке загрузки такого файла со свистом падает.

252
21 марта 2006 года
koderAlex
1.4K / / 07.09.2005
Цитата:
Originally posted by Alexandoros
Нету здесь глюков, как дизасм отдизасмил, так оно и на компе исполнятся будет.


Любая команда может иметь до 4 префиксов одновременно . В данном случае дизасмы должны были указать на очевидную ошибку (5 префиксов), обойти их и показать следущий нормально выполнимый код , а они покозали то , на что были запрограмированны .Значит обработка такой ситуёвины в них не заложена .

Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог