Tema: Re: Darželinuko klausimas apie asm
Autorius: Jornada Del Muerto
Data: 2010-12-15 15:20:49
Kazkaip nostalgiskai prisiminiau senus laikus:)

Ant Z80 pliusas buvo kad nedokumentuotu komandu budavo, tik po to rusai sukure debugerius kurie jas rodydavo, o taip matydavo kiti kazka tokio:

80 40:      NOP (ta prasme 2-3 baitu nop ir pan + cia galima budavo lauzyti instrukcijas, pvz jmp i vyresni baita, o koks nors disassembleris pavers paprastu nop)
75 46 78: NOP

    ir tt bet vykdant registru stovis keisdavosi + daug zaidimu su stack kas labai gerai lauzydavo debugerius (debugeriai megdavo savo callbackus i tapati stack susideti, tai loaderis paprasciausia is stacko daug visko istraukdavo ar sutikrindavo ar net tai dekoduojant programa naudodavo) ar stack padejimas i vaizdine atminti, jei veiks debugeris budavo tai staka padejus po dar vieno step visas kompas reset darydavo :) + eidavo standartines XOR/RL*|LL (bitiniai stumimai) ant pc dar tinka NEG ir dar kitu keletas, bei ivairiausios ju kombinacijos ir t.t.. dar gera apsauga budavo pazaidimas su pertraukimais, tam tikram rezime procesorius ivykdes masininio kodo instrukcija skirtingu skaicium priklausomai nuo komandos didindavo 1 is registru, tai daznai su juo koduodavosi, debugeriai jo neziurejo, tai viskas sprogdavo daugybe variantu jei kas zalias lysdavo :) po to aisku atsirado daiktai kaip STS (Stalker Stealth monitor) kuris graziai lauze :)

    O del PC galima irgi si ta pritaikyti, nors aplamai jei kietas specas nieko nuo jo neapsaugosi, gali ten ir sisteminiu registru stovius kaitalioti kurie keicia x86 cpu kodo interpretacija ar kaip nori po koda vedineti kad pasimestu ar vargint akis su tukstanciais XOR ciklu (pvz 2000 ciklu vienodi ir 1 kitoks poto vel koks 1000 ciklu su tokiu pat algoritmu, o po jo netycia koks biski kitoks, neapsiziurejas crackeris prasoka)- kas efektyvu kartais visur, vistiek apeis:)

    Del PC pas mane buvo ideju, jei DOS, pvz yra invalid instruction interrupt, tai praktiskai ji uzhookinus galima duot nesamoninga cpu instrukcija ir nesupras debugeris kur nusoko IP (pirmai su Z80 susimaises rasiau ECS kas taspats kas IP/EIP ant x86), kad jis sedi pertraukime, o po to permesti kitur, ar pertraukime isanalizuoti ar neesi debuginamas analizuojant kad ir stack ar kokius nors kitus pozymius pagal kuriuos detectint debuga...

    Arba kad ir rezervuoti sisteminiai registrai (kazkada teko rusiska knyga 4 tomu skaityti apie 486, ten buvo pamineti keletas rezerved registru, nors rusai pazaide buvo su jais, tai parase kad keicia kodo x86 interpretacija kazkurio is ju pakeitimas, ta prasme standartiniu x86 instrukciju gali is viso poto nesuprast, o taip pagalvojus apie super secured OS'us, kur visas kodo valdymas isslystu modifikavus siuos registrus is OS ranku ;)

"All Binary" <AllBinary@ktu.lt> wrote in message news:iea29f$pe9$1@trimpas.omnitel.net...
"saimhe" <oh.no@oh.my.lt>
>> ir kokia to prasme, aparto to kad paciam sunkiau paskui susigaudyti?
>  Svarbiausia, kad crackeriams sunkiau susigaudyt.

- as irgi buvau padares apsauga, kurios niekas nenulauze..

p.s.
pasenes supratau, kad nieks ir nebande..