assembly - SP(堆栈指针)反调试技巧

assembly - SP(堆栈指针)反调试技巧 - x86

转载作者：行者123 更新时间：2023-12-04 17:58:26

25

4

list 7.1 级联病毒的解密器

lea si, Start ; position to decrypt (dynamically set)

mov     sp, 0682    ; length of encrypted body (1666 bytes)

Decrypt:
xor     [si],si ; decryption key/counter 1
xor     [si],sp ; decryption key/counter 2
inc     si  ; increment one counter
dec     sp  ; decrement the other
jnz     Decrypt ; loop until all bytes are decrypted

Start:  ; Encrypted/Decrypted Virus Body

请注意，此解密器具有反调试功能，因为 SP(堆栈指针)寄存器用作解密 key 之一。

有人可以解释为什么使用 SP 寄存器就像反调试功能一样吗？如果我错了，请纠正我，但我认为运行调试器不会改变堆栈布局......

提前致谢

最佳答案

采取断点或中断将“将数据压入堆栈”，这会损坏堆栈指针引用的区域中的数据字节。因此，如果您使用调试器在代码中放置断点 (INT n)，那么您的调试行为(遇到断点)将破坏此代码试图解密的数据。

如果没有中断发生，此代码可能在 DOS 下工作；也许他们首先禁用中断。你不能在 Windows 或 Linux 下实际使用它(它的 16 位代码无论如何)。

关于assembly - SP(堆栈指针)反调试技巧 - x86，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/3750883/

25

4

0

文章推荐： jpa - 使用 CDI + WS/RS + JPA 构建应用程序

文章推荐： LaTeX:临时重新定义引用宏

文章推荐： ruby-on-rails - Rails中any_instance方法有什么用

javascript - 使用 SP.PeoplePicker 中的 SP.Field 值更新 SP.ListItem
我正在尝试使用 JSOM 更新 SP.Listitem，以保留另一个用户的 spUser。请参阅下面的代码片段 // Query the picker for user information. $.
sql - 从另一个 sp 获取 sp 值
虽然我环顾四周但还没有运气我正在使用 SQL Server。这是整个场景。我有一个旧的遗留 sp(由于很多依赖关系和其他问题我无法更改)它不返回任何值也不接受任何输出参数，它只是选择一个值作为 C
sql - 从另一个 sp 获取 sp 值
虽然我环顾四周但还没有运气我正在使用 SQL Server。这是整个场景。我有一个旧的遗留 sp(由于很多依赖关系和其他问题我无法更改)它不返回任何值也不接受任何输出参数，它只是选择一个值作为 C
assembly - 堆叠在MIPS中。 addi $ sp，$ sp，-4中4的目的是什么？
我正在研究使用过程的MIPS代码，但无法理解堆栈(sp)和帧指针(fp)的目的。例如，我研究的代码如下。它会在您输入的号码之前打印所有号码，例如3. 3,2,1,0，并显示它使用了多少堆栈大小。在此
mysql - 从另一个 SP 调用 SP 时出错
我已成功创建以下 MySQL SP.. CREATE DEFINER=`root`@`%` PROCEDURE `Common_Proc_Create_NewId` ( TableName VARC
mysql - 使用链接 DB 中的另一个 SP 执行 SP
我尝试使用链接的数据库代码中的另一个 SP 执行存储过程(SP)，工作顺利，没有错误，但它不会在我的表中插入数据。这是存储过程的代码 USE [MYDB] GO SET ANSI_NULLS ON
sql-server - 哪个更好-向现有 SP 添加可选参数或添加新 SP？
我有一个包含许多存储过程的生产 SQL-Server 数据库(报告)。SP以不同的方式向外界公开 - 一些用户可以直接访问 SP， - 一些通过 WebService 公开 - 而其他的则通过 DCO
sql - 有什么方法可以从一个正在运行的 SP 获取表并将其提供给 SQL Server 中的另一个 SP？
我是 SQL DBA 角色的新手。我有一个可能每天运行多次的存储过程 (SP1)。它在 table1 上运行昂贵的 SELECT，可能需要 15 分钟才能完成。我有另一个存储过程 (SP2)，它在 t
r - 自从更新 sp 包后，我通过调用 sp::CRS 定义收到警告
自从更新了 sp 软件包后，我收到了以前没有收到的警告: 1: In showSRID(uprojargs, format = "PROJ", multiline = "NO") : Disca
sql - 通过 exec SP 执行相同的代码与在查询窗口中执行 SP 代码报告相同的结果，但执行时间不同
问题我们试图理解为什么通过调用存储过程执行相同的代码与在查询窗口中执行存储过程内容显示出截然不同的执行时间，但返回完全相同的 183 行结果集。测试1 从 SSMS 执行以下 SP 需要 5 分钟
assembly - 为什么在 0(SP) 处传递的值只能在 4(SP) 处访问？
为什么在0(SP)处传递的值只能在4(SP)处访问？例如，我需要通过 0(SP) 而不是 4(SP) 将数字传递给 printn (因为它在例程中使用)否则它不会起作用。我错过了什么？ MOVE #1
MySQL:在 SP 中记录错误，然后终止/退出调用 SP 的进程
在 MySql 存储过程中，我想捕获并记录可能发生的任何错误，然后停止/终止/退出调用存储过程的进程。该进程是另一个存储过程，其上一级或可能上两级，由计划事件执行。目前我有第一部分，但没有第二部分:
python - 为什么我不能通过 import scipy as sp 使用 sp.signal？
这个问题在这里已经有了答案: scipy.special import issue (1 个回答) 关闭 7 年前。我想使用 scipy.signal.lti 和 scipy.signal.imp
linq - 如果使用 LINQ to SP 和 Sp 返回多个记录集，DBML 中缺少模式
在制作 LINQ to SQL 和实体的 POC 时，我遇到了一个卡在死胡同里的问题。问题是，我正在使用 LINQ to SP，一切都运行良好，我制作了很酷的编辑、添加和删除方法。然后在我的矿井中点击
sql - "Mocking"使用 TST 时 SP 调用(来自其他 SP)
我最近开始使用 TST (tst.codeplex.com) 测试存储过程，并发现它非常有用 - 但一个缺点是我们无法隔离依赖项并“模拟”其他 SP/函数调用(就像我们对 C# 所做的那样)对象依赖关
mysql - 我创建了 MySQL 事件来每天触发 sp，但我的事件调用 sp 的时间间隔为一天。有没有办法解决这个问题？
您好，我已经创建了一个每天触发 sp 的 mysql 事件，但它触发 sp 的时间间隔为一天。我创建的事件是: CREATE DEFINER=`root`@`localhost` EVENT `Job
sql-server - SQL Server 2005 - 查看 SP 在 SP 内执行
我想知道是否可以在 Sql Server Profiler 中查看其他存储过程正在执行的存储过程，是否可以，如果可以，如何实现？最佳答案如果您使用 SP::Starting 事件进行分析，您可以看
sql - 当 SP 包含 # 个临时表时，使用 OPENROWSET 动态检索 SP 结果
我的场景我正在开发一个数据库，该数据库将包含整个服务器上不同数据库中各种存储过程的许多详细信息。我现在试图收集的信息是“SP 输出什么？” 在搜索中我发现答案就在 OPENROWSET 中。我的初步
python - 类似于 C++ 中的 sp.linalg.norm、sp.cross 的函数
在 python 中，我们有包含 sp.linalg.norm、sp.cross 的库 scipy。 C++ boost 库中有没有类似的函数？最佳答案好像没有。但是，OpenCV 有您需要的!
python - 使用 sp.integrate.quad() 时将 scipy 导入为 sp 时出错
将 scipy 导入 Python 时出现错误。当我写: import scipy as sp x2 = lambda x: x**2 print sp.integrate.quad(x2, 0, 4

首页

博学

6Ren·AI

商城

assembly - SP(堆栈指针)反调试技巧 - x86