home *** CD-ROM | disk | FTP | other *** search
/ Collection of Tools & Utilities / Collection of Tools and Utilities.iso / asmutil / 80x0393.zip / ANTIDBG.TXT < prev    next >
Text File  |  1993-03-30  |  17KB  |  425 lines
  1.                             Anti Debugging Tricks
  2.  
  3.                                      By:
  4.  
  5.                                   Inbar Raz
  6.  
  7.                  Assistance by Eden Shochat and Yossi Gottlieb
  8.  
  9.                                Release number 5
  10.  
  11.   Today's anti debugging tricks devide into two categories:
  12.  
  13.   1. Preventive actions;
  14.   2. Self-modifying code.
  15.  
  16.   Most debugging tricks, as for today, are used within viruses, in order to
  17. avoid dis-assembly of the virus, as it will be exampled later in this file.
  18. Another large portion of anti debugging tricks is found with software
  19. protection programs, that use them in order to make the cracking of the
  20. protection harder.
  21.  
  22. 1. Preventive actions:
  23. ----------------------
  24.  
  25.   Preventive actions are, basically, actions that the program takes in order
  26. to make the user unable to dis-assemble the code or trace it while running.
  27.  
  28. 1.1. Interrupt disable:
  29.  
  30.        Interrupt disable is probably the most common form of anti-debugging
  31.      tricks. It can be done in several ways:
  32.  
  33.    1.1.1. Hardware masking of interrupt:
  34.  
  35.             In order to avoid tracing of a code, one usually disables the
  36.           interrupt via the 8259 Interrupt Controller, addressed by read/write
  37.           actions to port 21h. The 8259 Interrupt Controller controls the IRQ
  38.           lines. This means that any IRQ between 0 and 7 may be disabled by
  39.           this action. Bit 0 is IRQ0, bit 1 is IRQ1 etc. Since IRQ1 is the
  40.           keyboard interrupt, you may disable the keyboard without the
  41.           debugger being able to bypass it.
  42.  
  43.           Example:
  44.  
  45.           CS:0100 E421           IN     AL,21
  46.           CS:0102 0C02           OR     AL,02
  47.           CS:0104 E621           OUT    21,AL
  48.  
  49.             Just as a side notice, the keyboard may be also disabled by
  50.           commanding the Programmable Peripheral Interface (PPI), port 61h.
  51.  
  52.           Example:
  53.  
  54.           CS:0100 E461           IN     AL,61
  55.           CS:0102 0C80           OR     AL,80
  56.           CS:0104 E661           OUT    61,AL
  57.  
  58.    1.1.2. Software masking of interrupt:
  59.  
  60.             This is quite an easy form of an anti-debugging trick. All you
  61.           have to do is simply replace the vectors of interrupts debuggers
  62.           use, or any other interrupt you will not be using or expecting to
  63.           occur. Do not forget to restore the original vectors when you are
  64.           finished. It is adviseable to use manual change of vector, as shown
  65.           below, rather than to change it using interrupt 21h service 25h,
  66.           because any debugger that has gained control of interrupt 21h may
  67.           replace your vector with the debugger's. The example shows an
  68.           interception of interrupt 03h - the breakpoint interrupt.
  69.  
  70.           Example:
  71.  
  72.           CS:0100 EB04           JMP    0106
  73.           CS:0102 0000           ADD    [BX+SI],AL
  74.           CS:0104 0000           ADD    [BX+SI],AL
  75.           CS:0106 31C0           XOR    AX,AX
  76.           CS:0108 8EC0           MOV    ES,AX
  77.           CS:010A 268B1E0C00     MOV    BX,ES:[000C]
  78.           CS:010F 891E0201       MOV    [0102],BX
  79.           CS:0113 268B1E0E00     MOV    BX,ES:[000E]
  80.           CS:0118 891E0401       MOV    [0104],BX
  81.           CS:011C 26C7064C000000 MOV    Word Ptr ES:[000C],0000
  82.           CS:0123 26C7064E000000 MOV    Word Ptr ES:[000E],0000
  83.  
  84.    1.1.3. Vector manipulation
  85.  
  86.              This method involves manipulations of the interrupt vectors,
  87.           mainly for proper activation of the algorithm. Such action, as
  88.           exampled, may be used to decrypt a code (see also 2.1), using data
  89.           stored ON the vectors. Ofcourse, during normal operation of the
  90.           program, vectors 01h and 03h are not used, so unless you are trying
  91.           to debug such a program, it works fine.
  92.  
  93.           Example:
  94.  
  95.           CS:0100 31C0           XOR    AX,AX
  96.           CS:0102 8ED0           MOV    SS,AX
  97.           CS:0104 BC0E00         MOV    SP,000E
  98.           CS:0107 2E8B0E3412     MOV    CX,CS:[1234]
  99.           CS:010C 50             PUSH   AX
  100.           CS:010D 31C8           XOR    AX,CX
  101.           CS:010F 21C5           AND    BP,AX
  102.           CS:0111 58             POP    AX
  103.           CS:0112 E2F8           LOOP   010C
  104.  
  105.    1.1.4. Interrupt replacement
  106.  
  107.             This is a really nasty trick, and it should be used ONLY if you
  108.           are ABSOLUTELY sure that your programs needs no more debugging. What
  109.           you should do is copy the vectors of some interrupts you will be
  110.           using, say 16h and 21h, onto the vectors of interrupt 01h and 03h,
  111.           that do not occur during normal operation of the program. If the
  112.           user wants to debug the program, he would have to search for every
  113.           occurance of INT 01, and replace it with the appropriate INT
  114.           instruction. This trick is very effective if used together with the
  115.           fact that the INT 3 intruction has a ONE BYTE opcode - 0CCh, which
  116.           can not be changed to any other interrupt.
  117.  
  118.           Example:
  119.  
  120.           CS:0100 FA             CLI
  121.           CS:0101 31C0           XOR    AX,AX
  122.           CS:0103 8EC0           MOV    ES,AX
  123.           CS:0105 26A18400       MOV    AX,ES:[0084]
  124.           CS:0109 26A30400       MOV    ES:[0004],AX
  125.           CS:010D 26A18600       MOV    AX,ES:[0086]
  126.           CS:0111 26A30600       MOV    ES:[0006],AX
  127.           CS:0115 B44C           MOV    AH,4C
  128.           CS:0117 CD01           INT    01                
  129.  
  130. 1.2. Time watch:
  131.  
  132.        This may be a less common method, but it is usefull against debuggers
  133.      that disable all interrupts except for the time that the program is
  134.      executed, such as Borland's Turbo Debugger. This method simply retains
  135.      the value of the clock counter, updated by interrupt 08h, and waits in an
  136.      infinite loop until the value changes. Another example is when you mask
  137.      the timer interrupt by ORing the value INed from port 21h with 01h and
  138.      then OUTing it back, thus disabling the IRQ0 - Timer interrupt. Note that
  139.      this method is usefull only against RUN actions, not TRACE/PROCEED ones.
  140.  
  141.      Example:
  142.  
  143.      CS:0100 2BC0           SUB    AX,AX
  144.      CS:0102 FB             STI
  145.      CS:0103 8ED8           MOV    DS,AX
  146.      CS:0105 8A266C04       MOV    AH,[046C]
  147.      CS:0109 A06C04         MOV    AL,[046C]
  148.      CS:010C 3AC4           CMP    AL,AH
  149.      CS:010E 74F9           JZ     0109
  150.  
  151. 1.3. Fool the debugger:
  152.  
  153.        This is a very nice technique, that works especially and only on those
  154.      who use Turbo Debugger or its kind. What you should do is init a jump to
  155.      a middle of an instruction, whereas the real address actually contains
  156.      another opcode. If you work with a normal step debugger such as Debug or
  157.      SymDeb, it won't work since the debugger jumps to the exact address of
  158.      the jump, and not to the beginning of an instruction at the closest
  159.      address, like Turbo Debugger.
  160.  
  161.      Example:
  162.  
  163.      CS:0100 E421           IN     AL,21
  164.      CS:0102 B0FF           MOV    AL,FF
  165.      CS:0104 EB02           JMP    0108
  166.      CS:0106 C606E62100     MOV    Byte Ptr [21E6],00
  167.      CS:010B CD20           INT    20
  168.  
  169.      Watch this:
  170.  
  171.      CS:0108 E621           OUT    21,AL
  172.  
  173.      Notice:
  174.  
  175.        This trick does NOT effect the run of the program in ANY debugger. Its
  176.      only use is to try to deceive the user into thinking another opcode is
  177.      used, while another is actually run.
  178.  
  179. 1.4. Check CPU Flags:
  180.  
  181.        This is a nice trick, effective against almost any real mode debugger.
  182.      What you should do is simply set the trace flag off somewhere in your
  183.      program, and check for it later. If it was turned on, a debugger runs in
  184.      the background...
  185.  
  186.      Example:
  187.  
  188.      CS:0100 9C             PUSHF
  189.      CS:0101 58             POP    AX
  190.      CS:0102 25FFFE         AND    AX,FEFF
  191.      CS:0105 50             PUSH   AX
  192.      CS:0106 9D             POPF
  193.  
  194.      In the middle of the program:
  195.  
  196.      CS:1523 9C             PUSHF
  197.      CS:1524 58