Выполнение кода во время дизассемблирования?

Question

[Gigabait]

Интересует вопрос, каким образом реализовано выполнение ассемблера во время его дизассемблирования? Видел несколько проектов, в которых это было реализовано, например: высокое использование оперативной памяти во время процесса дизассемблирования, или высокая нагрузка на процессор в той же ida к примеру.
Можете скинуть статей по данной теме? В какую сторону гуглить? Т.к сам ничего не нашел по этой теме, либо это не сильно придаётся огласке...

Comments

[edward_freedom]

перед знаком вопроса пробел не ставится

[Gigabait]

edward_freedom, Спасибо за оффтоп

[Сергей Сергей]

оффтоп же

edward_freedom, а чо, почти тернарный оператор (A?B:C) , можно и отпробелить.

[Александр Ананьев]

Не совсем понятно, чем не устраивает отладчик в ida для выполнения дизассемблированного кода?

[Wataru]

Gigabait, Вы имеете ввиду выполнение кода во время отладки? Дисассемблирование - это тупо чтение исполняемого файла/памяти и превращение машинного кода в ассемблерный.

[Gigabait]

Wataru, Я имею ввиду выполнение ассемблера во время его чтения в ida редакторе или ему похожим. Я пока точно не понял как это работает, но я думаю что, в тот момент когда Ida считывает регионы памяти, и натыкается на этот код вследствие чего он выполняется.

[Gigabait]

Wataru, Хорошо, тогда объясните мне каким образом выполняется код в данной теме https://habr.com/ru/company/lanit/blog/570516/ в строке "Также в целях усложнения анализа авторы семпла реализовали". Я думаю что он выполняется во время "декомпилирования", как бы глупо это не звучало, по этому и спрашиваю.

75 просмотров, 0 ответов по теме.

[Wataru]

Gigabait, Просто какие-то сильно долгие вычисления. Если антивирус или еще кто-то запустит исполняемый файл в песочнице, то ему надоест долго ждать.

Так же если кто-то при отладке захочет посмотреть значение переменных в определенном месте кода ему придется долго долго ждать.

[Gigabait]

Wataru, вы меня не поняли, каким образом "триггирится" данный код. Вы уверены в том что данный код не может быть запущен во время декомпилирования в дизасемлере (в нашем случае ida)? Что на счёт еще публично не афишированных CVE для ida? Я в курсе что могут быть проверки на дебаггер, но они работают только во время выполнения, если я прав.

Так же если кто-то при отладке захочет посмотреть значение переменных в определенном месте кода ему придется долго долго ждать.

Хотите сказать что автор данной статьи не на столько умён, чтобы использовать плагины для скрытия отладчика ?

[Wataru]

Gigabait, Нет. Программа делает много вычислений, которые нельзя пропустить. Всегда. Даже без отладки.

Answer 1

[Saboteur]

Собственно гуглить нужно не "выполнение ассемблера во время дизасемблирования", это некорректная фраза. Процессор не выполняет ассемблер, он выполняет машинный код.
Это процесс дизасемблирования позволяет перевести машинный код в понятный человеку ассемблер.

Гуглить нужно "как работает отладчик".
Для программ это сделано на уровне операционной системы.
Есть специальный режим отладки, в котором отладчик запускает программу, что позволяет ему выполнять ее пошагово.

Отладка вне операционной системы, или отладка ядра операционной системы, уровень посложнее. Но он тоже предусмотрен уже в современных процессорах, когда ты отладчик вешает свой код на прерывание и переводит процессор в режим, чтобы после каждой инструкции выполнялся код отладчика.

На старых процессорах (где-то в районе 286 и раньше), такого режима вроде не было, там было чуток сложнее отлаживать по шагам, но с другой стороны все работали в едином пространстве, все процессы имели доступ друг к другу. Но тогда я был малой и зеленый, могу ошибаться.