home *** CD-ROM | disk | FTP | other *** search
/ PC Media 20 / PC MEDIA CD20.iso / share / prog / a_debug1 / debug1.txt < prev    next >
Encoding:
Text File  |  1995-03-05  |  5.0 KB  |  158 lines
  1. En el VCL viene una referencia a un articulo sobre
  2. antidebug, si no es el mismo te agradecería que, si lo
  3. consigues, lo pongas por aquí.
  4.  
  5. Como veo que buscais técnicas anti-debugger, yo tengo algunos, he aquí un
  6. resumen de algunas técnicas y metodos para evitarlas. :-))
  7.  
  8. ===8<==========================================
  9. 1. Preventive actions:
  10. ----------------------
  11. 1.1. Interrupt disable:
  12.    1.1.1. Hardware masking of interrupt:
  13.  
  14.        Deshabiltar la IRQ1 del teclado (port 21:=port 21 or 2)
  15.  
  16. POR QUÉ NO:  inútil contra Soft-ICE.
  17.  
  18.    1.1.2. Software masking of interrupt:
  19.  
  20.        Poner vectores de interrupción que no usas a cero (ej,
  21.        int 3 y demás).
  22.  
  23.    1.1.3. Vector manipulation
  24.  
  25.        Usar los vectores int 01 e int 03 para datos del programa (ej,
  26.        para una rutina de desencriptación).
  27.  
  28.    1.1.4. Interrupt replacement
  29.  
  30.        Copiar vectores de interrupción que usas (ej, int 16 ó int 21) a
  31.        los vectores int 01 e int 03 y usar éstos en lugar de aquellos.
  32.  
  33.        (además el que int 03 sea un código de un sólo byte, "cc", hace
  34.        que sea difícil sustituirlo por la int xx original, de dos bytes
  35.        "cd xx").
  36.  
  37. POR QUÉ NO:  A los depuradores V86 no les afecta.
  38.  
  39. 1.2. Time watch:
  40.  
  41.        Poner un bucle que espera a que cambie el contador de tiempo del
  42.        DOS, "util contra programas como el TD que deshabilitan todas las
  43.        interrupciones salvo cuando se está ejecutando el programa"
  44.        "Sirve contra RUN, no TRACE".   (mi no comprender :-?  :-?)
  45.  
  46. POR QUÉ NO: Cuando se "cuelga" en el bucle, interrumpes, ves lo que pasa,
  47.             y machacas el bucle con NOPs.
  48.  
  49. 1.3. Fool the debugger:
  50.  
  51.        Saltar dentro del código de una instrucción que a su vez contiene
  52.        la instrucción que quieres ejecutar:
  53.  
  54.        104:  eb 02           jmp 108
  55.        106:  c6 06 e6 21 00  mov byte ptr [21e6],90
  56.      ( 108:        e6 21 90  out 21, al / nop )
  57.  
  58. POR QUÉ NO: le dices que te desensamble a partir de cs:ip.
  59.  
  60. 1.4. Check CPU Flags:
  61.  
  62.        "Bueno contra depuradores en modo real."
  63.        Pones la TF (bit ocho de flags) a 0 en un punto del programa y
  64.        luego la compruebas en otro punto. Si está a 1 estás bajo un
  65.        depurador.
  66.  
  67. POR QUÉ NO: inútil en V86
  68.  
  69. 1.5. Cause debugger to stop execution:
  70.  
  71.        Espolvorear int 3 en el código, sobre todo dentro de bucles.
  72.  
  73. POR QUÉ NO: Es fácil pisar la int 03 con un NOP. A muchos depuradores
  74.             se les puede indicar que no paren ante una int 03.
  75.  
  76. 1.6. Halt computer using stack:
  77.  
  78.        Apuntar ss:sp a un trozo de código que no utiliza la pila.
  79.        Si se depurando, el depurador que no utilice su propia pila
  80.        machacará el código.
  81.  
  82. POR QUÉ NO: Los depuradores sí utilizan su propia pila.
  83.  
  84. 1.7. Halt TD386 V8086 mode:
  85.  
  86.        TD386 no usa int 0 para la división por cero. TD386 detecta un
  87.        fallo de división y aborta el programa, mientras que sin TD386
  88.        basta con apuntar la int 0 a la instrucción siguiente a la
  89.        división por cero para recuperar el control.
  90.  
  91. POR QUÉ NO: No es verdad. Eso no le hace nada al TD386.
  92.  
  93. 1.8. Halt any V8086 process:
  94.  
  95.        Apuntar el vector int 0d al código y causar una excepción de
  96.        protección. El programa funcionará en modo real, pero no en
  97.        V8086.
  98.  
  99. POR QUÉ NO: Es muy fácil cambiar el código ilegal y además te cargas la
  100.             compatibilidad con muchos sistemas.
  101.  
  102. 2. Self-modifying code:
  103. -----------------------
  104.  
  105. 2.1. Encryptive/decryptive algorithm:
  106.  
  107.        Desencriptas un código antes de ejecutarlo. Si el depurador ha
  108.        metido un byte int 03 al desencriptarlo se cambiará por basura.
  109.  
  110.            100     mov bx, 0971
  111.            103     mov di, 0110
  112.            106     xchg ax,cx
  113.            107     xchg ax,cx
  114.            108     xor byte ptr [cs:di],97
  115.            10c     inc di
  116.            10d     dec bx
  117.            10e     jnz 106
  118.            110 07  pop es    ; cambiará a 90 NOP
  119.            111     pop es
  120.  
  121.  
  122. 2.2. Self-modifying code:
  123.    2.2.1. Simple self-modification:
  124.  
  125.        Modificar el código que vas a ejecutar para borrar los int 03 que
  126.        ponga el depurador:
  127.  
  128.           100         call 0107   ; queremos saltarnos esta subrutina
  129.           103 cd 20   int 20      ; aquí el depurador pone int 3
  130.           105         int 21
  131.           107         mov [word ptr 103],4cb4 ; "mov ah,4c"
  132.           10d         ret
  133.  
  134. POR QUÉ NO: Depuradores V86 te dejan usar breakpoints hardware, sin
  135.             utilizar int 03. (Tanto para 2.1 como para 2.2.1)
  136.  
  137.  
  138.    2.2.2. The Running Line (self-decrypting):
  139.  
  140.        < Este lo puse antes :-) >
  141.  
  142.  
  143. Créditos:
  144.  
  145. ANTIDEPURADOR:
  146.                             Anti Debugging Tricks
  147.                                      By:
  148.                                   Inbar Raz
  149.                  Assistance by Eden Shochat and Yossi Gottlieb
  150.                                Release number 5
  151.  
  152.                                    - - - -
  153. ANTIANTIDEPURADOR ("POR QUÉ NO"):
  154.  
  155.         Sun 24 Jan 93
  156.         By: Michael Forrest
  157.         Hi.  Here's release 1 of the Anti-Anti Debugging Tricks article.
  158.