欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  数据库

对抗启发式代码仿真检测技术分析(2)_MySQL

程序员文章站 2024-02-09 12:14:34
...
bitsCN.com ,例如这样打开一个文件的操作,虽然我没有测试过这种方式。
  
mov ax, 3D02h ;0x3D02 是密钥
  add ax, key
  int 21h  1 通过指令预取反跟踪技术:
  早期的处理器,像386或者486都使用了指令队列预期(PIQ)技术来提高代码执行效率。这一技术的本质是,当CPU将要执行一条指令时,它已经将该指令预先读到了CPU的cache中了。所以在此之前的修改对CPU来说已经没有影响了。让我看一个这样的例子:
  
mov word ptr cs:[offset piq], 20CDh
  piq:
  nop
  nop  你应该会想到这个程序将结束运行,因为两个字节的nop 指令会被覆盖为 int 20h(译者注:int 20h 是返回DOS的指令)。但在386或486的机器上去并非如此,因为nop指令已经在cpu的cache中了。但在Pentium/Pentium II 体系的机器中运行时,指令则会被覆盖,程序执行后退出。
  如果你想利用这一特性来对抗启发式检测技术的话,你就必须知道在386/486年代这是一种广泛的对抗启发式检测的手段。但是随着AVs的改进,他们已经加入了对指令预期技术的支持。这是不是件很不可思议的事情,他们仿真的东西竟是不存于现在的处理器当中的。让我们再看看上面的例子,这是我们用来对付他们的,在 pentium 或者更高级别的处理上面,像我所说的那样,程序会终止,因为这些处理器没有使用PIQ技术。但大部分的AVs会继续让代码执行那两个nops,因为他们要仿真PIQ。所有这块我们这样做:
  
mov word ptr [offset prefetch], 06C7h
  prefetch:
  int 20h
  dw offset decrypt_key
  dw key  int 20h 指令将被覆盖,替换它的将是下面的指令
  
mov word ptr [decrypt_key], key  基于对PIQ的考虑,AVs将终止程序的执行。但实际上我们的程序将继续运行,在我们的加密处理函数中设置密钥。我们仅存在一个问题,那就是我们的代码要运行在Pentiums或更高级别的处理器上面。为了使之兼容486系列或更低一些处理器,我们只需清除掉PIQ之间的两条指令。
  没有什么比这更简单的了!当然,你也要知道清除所有jump类指令(jmp, call, loop, int...)之间的PIQ(这一点是必需的,如果你想这样做的话)。但是我们不能简单的处理JMP Short $+2之间的指令,对于清除PIQ来说它应该是正常被执行的,因为代码仿真器是会察觉到这一点的。
  但是我们可以使用一个特殊的功能,CPU的陷阱标志。如果这个标志被置位,那么其后的任何指令执行都将触发int 1 的中断调用,记住这样会清除PIQ。这通常是在的调试状态下,1号中断向量只是简单的 IRET,所以我们可以使用没有任何问题。无论如何,执行后再次清除陷阱标志都是个很好的主意。下面展示的代码可以运行在任何处理器上(assumes DS = CS)。
  
pushf ;flags on the stack
  pop ax ;flags from stack into AX
  or ax, 100000000b ;set trap flag
  push ax ;put the modified flags in AX back...
  popf ;into the flag register via the stack
  mov word ptr [offset prefetch], 06C7h ;modify the following instruction
  prefetch: ;here gets int1 called => clears PIQ
  int 20h ;This is never executed
  dw offset decrypt_key ;where we want to write our key to
  dw key ;the actual decryption key
  pushf ;clear the trap flag again with
  pop ax ;the same method as above.
  xor ax, 100000000b ;will also fool some debuggers
  push ax
  popf
  mov word ptr [offset prefetch], 20CDh ;restore the int20h (next generations)bitsCN.com