1. Assembler / Говнокод #5091

    +225

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    ; Program entry point
00401000:  push 0070F001
00401005:  call 0040100B
0040100A:  ret
0040100B:  ret

    Суровый старт зашифрованного самораспаковывающегося архива. Так хитро передаётся управление на 0070F001 (за сегмент кода).

    Запостил: TarasB, 28 Декабря 2010

    Комментарии (46) RSS

    • ava TarasB 28.12.2010 14:54 # −2

      Не вызовет ли сочетание пуша и рета тот же эффект, что и в http://govnokod.ru/1520?
      Ответить

      • ava guest 28.12.2010 15:08 # −1

        Должно.
        Ответить

        • ava TarasB 28.12.2010 15:12 # 0

          Вот и я о том же - что говно говном получается.
          Ответить

      • ava istem 28.12.2010 22:58 # 0

        Почему? Там ведь несколько другое. Там забирается адрес ПОСЛЕ вызова процедуры, а здесь кладётся ДО. Такое впечатление, что командой "call" здесь пытались пофиксить некий системный глюк...
        Можно и так?
        00401000: push 0070F001
        00401005: call 0040100A
        0040100A: ret
        --
        И почему, в обоих случаях, нельзя использовать счётчик команд?.. (вопрос)
        Ответить

        • ava FadedInto 29.12.2010 00:17 # 0

          > Можно и так?
          Хм, похоже, так и нужно. Хотя есть же jmp 0070F001.
          > почему, в обоих случаях, нельзя использовать счётчик команд?
          Дело в хитрожопом 3-битном кодировании регистров:
          _	8 bit	16 bit	32 bit	Segment	Control	Debug
0 (000)	AL	AX	EAX	ES	CR0	DR0
1 (001)	CL	CX	ECX	CS		DR1
2 (010)	DL	DX	EDX	SS	CR2	DR2
3 (011)	BL	BX	EBX	DS	CR3	DR3
4 (100)	AH	SP	ESP	FS	CR4	
5 (101)	CH	BP	EBP	GS		
6 (110)	DH	SI	ESI			DR6 (DR4)
7 (111)	BH	DI	EDI			DR7 (DR5)
          Для EIP не нашлось места. Ну и еще, например, команда mov eip, <src> была бы посложнее обычной записи в регистр.
          Ответить

          • ava istem 29.12.2010 00:29 # −1

            Нечто вроде jmp предлагалось в http://govnokod.ru/5091#comment65815 :)

            > Для EIP не нашлось места.
            :) весело.

            Значит с усложнением архитектуры процессоров более лояльнее, использование высокоуровневых языков, либо всеобщая глобальная процессоростандартизация.
            Ответить

            • ava FadedInto 29.12.2010 01:01 # −1

              > глобальная процессоростандартиз ация
              Это вряд ли :)
              Ответить

          • ava inkanus-gray 29.12.2010 00:38 # +3

            В 8086 была стрёмная инструкция POP CS. Чему равнялось значение IP после записи нового значения в CS?
            К счастью, её вскоре отменили.
            Ответить

          • ava bugmenot 29.12.2010 00:47 # 0

            откуда копипаста?
            Ответить

            • ava FadedInto 29.12.2010 00:59 # −1

              Хороший вопрос. Не помню. Было дело, интересовался немного системой команд, таблички находил...
              Ответить

              • ava bugmenot 29.12.2010 02:31 # +2

                когда-то давно у меня было сборище справочников по опкодам и иже с ними, сейчас от low level отошёл, и справочники протерялись, однако каждый раз когда лезу в интеловские мануалы, появляется желание опять завести себе
                Ответить

                • ava guest 29.12.2010 02:39 # 0

                  Как же это манит при всей своей бесполезности...
                  Ответить

                  • ava bugmenot 29.12.2010 02:43 # 0

                    рецепт успеха прост: заводите себе интеловские; пробуете скопипастить оттуда что-либо уместное; всё, желание возникло.
                    Ответить

                    • ava guest 29.12.2010 02:51 # 0

                      Говорю, это интересно и меня всегда манило, но в наше время редко кормит...
                      Ответить

                      • ava bugmenot 29.12.2010 03:56 # 0

                        ну как же без справочника? даже на говнокоде неудобно трепаться :)
                        Ответить

                        • ava guest 29.12.2010 11:01 # −1

                          Вы всё ещё пользуетесь книжками? Тогда Интернет идёт к Вам.
                          Ответить

                • ava FadedInto 29.12.2010 02:56 # −1

                  Вот тут находил кое-что:
                  http://dospage.by.ru/docs_dos.shtm
                  Еще есть бумажная Assembler: Специальный справочник, В. Юров.
                  Ответить

                  • ava bugmenot 29.12.2010 03:55 # 0

                    спасибо, накачал (techhelp и helppc точно были в той коллекции)

                    кстати, у этого чувака нет винрарнейшего справочника Ralf Brown's Interrupt List
                    Ответить

          • ava guest 29.12.2010 00:59 # −1

            >Для EIP не нашлось места.
            Теперь в х64 есть доступ к EIP. :)
            Ответить

        • ava inkanus-gray 29.12.2010 00:35 # −1

          Инструкция jmp near в машинных кодах на x86 содержит не абсолютный адрес назначения, а относительный, поэтому в коде будет не 0070F001, а разность 0070F001 и текущего адреса, а текущий адрес ВНЕЗАПНО может не оказаться фиксированным. Либо в выбранном ассемблере не оказалось удобного представления для такого прыжка. Потому и push-ret вместо джампа.
          Ответить

          • ava bugmenot 29.12.2010 00:46 # +1

            EA cp
            JMP ptr16:32
            Jump far, absolute, address given in operand
            Ответить

            • ava FadedInto 29.12.2010 00:54 # −1

              Тоже хотел написать, а теперь вот думаю, а не будет ли работа с 48-битным указателем еще медленнее чем рассогласование call/ret...
              Ответить

              • ava guest 29.12.2010 01:02 # −1

                Точно не будет. Рассогласование может начать тормозить всё последующее выполнения программы.
                Ответить

                • ava istem 29.12.2010 01:13 # −1

                  Дико извиняюсь, но рассогласование это в http://govnokod.ru/1520 ?
                  Как бы:
                  : call label
         : ret
label: push 0070F001
         : ret

                  Но здесь же несколько иная ситуация, не?
                  Ответить

                  • ava guest 29.12.2010 02:41 # −1

                    В этом говнокоде как раз несоответсвие числа call и ret.
                    Ответить

            • ava inkanus-gray 29.12.2010 02:49 # −1

              Есть такая штука. Только боюсь, что набирать придётся через директиву db. Ассемблер никаких фиксапов в объектный файл не напихает?
              Ответить

              • ava bugmenot 29.12.2010 03:58 # 0

                когда-то надо было, точно помню label far и потом jmp indirect
                Ответить

    • ava Dummy00001 28.12.2010 15:17 # −1

      уж не помню контекста, но я видел как подобные игры использовались для инитиализации начального фрейма в стеке что бы способ запуска не был виден в стеке исполняймой программы. перекладывая на С: между libc и main() нет лишних стек фреймов.
      Ответить

    • ava guest 29.12.2010 00:01 # −1

      А в чём разница между кодом в говнокоде и этим:
      00401000:  push 0070F001
0040100A:  ret

      ?
      Ответить

      • ava bugmenot 29.12.2010 00:22 # 0

        сколько раз вошли и сколько раз вышли?
        Ответить

      • ava inkanus-gray 29.12.2010 00:26 # −1

        По идее одно и то же. Выдвину гипотезы:
        1. Что-нибудь сгенерированное языками высокого уровня.
        2. Дурилка для отладчика.
        Ответить

        • ava bugmenot 29.12.2010 00:44 # +2

          Ответить

        • ava guest 29.12.2010 00:56 # −2

          Ну отладчик не задуришь, а вот насчёт 1-го соглашусь.
          Ответить

        • ava TarasB 29.12.2010 10:21 # 0

          Мой примитивный отладчик за 500 Кб как раз задурился. Он не считает, что адрес 00700000 находится в части кода и не показывает его мне.
          Просто я захотет поковырять самоархиватор, требующий у меня СМС и сразу напоролся на такой прикол.
          Ответить

          • ava Govnocoder#0xFF 10.05.2011 14:13 # 0

            Вы всё ещё используете самодельные отладчики? Тогда OllyDbg идёт к вам!
            Ответить

        • ava Govnocoder#0xFF 10.05.2011 14:12 # 0

          Дурилка однозначно. Это же упаковщик.
          Ответить

    • ava Анонимус 29.12.2010 01:37 # −1

      если это сделано програмно -- то наивно
      если руками -- сам же запутается

      можно еще набить в стек 42 адреса и 8 раз сделать рет
      Ответить

    • ava Анонимус 30.12.2010 22:22 # −1

      Нестеренко поет: "и куда ни пойдешь -- везде наткнешься на ret, и __еще хорошо если в стеке есть адрес возврата__".
      Кажется я понял, о чем он))
      Ответить

    • ava govnokod3r 31.12.2010 03:24 # 0

      Чё-то похоже на точку входа аспротекта. Ничего необычного в принципе нет, такие джампы push-ret уже давно юзаются.
      Ответить

    • ava guest 02.01.2011 00:29 # −8

      показать все, что скрытоТарасиха - сучка.
      Ответить

      • ava guest 02.01.2011 23:27 # −4

        Звёздные войны. Эпизод II: Атака клоунов.
        Ответить

    • ava Govnocoder#0xFF 10.05.2011 14:09 # 0

      Солодовняк с его б-гомерзким ASProtect негодуэ!
      Ответить

    • ava DemonId7 12.06.2011 22:49 # 0

      Обычный код, какого в каждой второй защищенной программе как грязи. Не скажется это на быстродействии всей программы. Если уж кому то влом маны курить, то поглядите хотя бы на шитый код форт-программ, творящий со стэком "ужасные" вещи, но остающийся при этом довольно шустрым.
      Ответить

    Добавить комментарий