SP（堆栈指针）反调试技巧 - x86

Question

清单 7.1 级联病毒的解密器

lea si, Start ; position to decrypt (dynamically set)

mov     sp, 0682    ; length of encrypted body (1666 bytes)

Decrypt:
xor     [si],si ; decryption key/counter 1
xor     [si],sp ; decryption key/counter 2
inc     si  ; increment one counter
dec     sp  ; decrement the other
jnz     Decrypt ; loop until all bytes are decrypted

Start:  ; Encrypted/Decrypted Virus Body 

请注意，该解密器具有反调试功能，因为 SP（堆栈指针）寄存器被用作解密密钥之一。

有人可以解释一下为什么使用 SP 寄存器的行为就像反调试功能？如果我错了，请纠正我，但我不认为运行调试器会改变堆栈布局......

提前致谢

Answer 1

我的 x86-fu 已经生锈了，但我似乎记得大多数断点调试工具都是通过触发 CPU 中的故障并将自己声明为主管进程来工作的 - 这将为您提供一个新的堆栈以及相应更改的堆栈指针。因此，单步执行该代码将为您提供 sp 值，这些值与进程在没有被调试器捕获时通常看到的值不同。

Answer 2

大多数调试器期望 [e]sp 有效并指向堆栈区域。我想如果 sp 没有指向有效内存，一些调试器可能会崩溃，但我不知道有什么。

Answer 3

设置断点或中断会将数据“推入堆栈”，这将损坏堆栈指针引用的区域中的数据字节。因此，如果您使用调试器在代码中放置断点 (INT n)，则您的调试行为（遇到断点）将破坏该代码尝试解密的数据。

如果没有发生中断，这段代码可能会在 DOS 下运行；也许他们首先禁用中断。实际上，您无法在 Windows 或 Linux 下使用它（无论如何都是 16 位代码）。

Answer 4

如果堆栈段等于数据段（是.com还是.exe病毒？好像是.com，因为DS已经等于CS），那么任何堆栈的使用（调试器甚至中断）都会修改ss所在的内存:[sp] 正在指向，它将指向病毒体内的某个地方（因为它被用作计数器）。