Сколькими способами можно передать управление в другую часть кода(или аля jmp )

Вобщем я собираю премудрости, пока способы передачи управления мне известны такие:



jmp a1

a1:



и различные вариации:

mov eax,a1

jmp eax



push a1

retn

a1:



Как еще можно передать управление?

 

call, retf, iretd, различные Jcc



возможны извратные способы вроде сех, или SetThreadContext.



Если смотреть более широко, то можно передать управление даже с помошью команды mov eax, [eax] (в системный обработчик исключения). Сюда также можно отнести все привелигированые команды (вызывающие исключение), а также int, into, int3, icebp, sysenter, sysexit, syscall.

С помощью инвалидного опкода тоже можно передать управление

Но если ограничиваться ринг3 кодом (и не трогать возможности ОС), то фактически все сводиться к набору команд jmp, call, Jcc, ret, retf, iret.

 

call a1



Или вот:

stc

jc a1



Или:

mov cl, 1

loop a1



<<<<<<<<<<<<<<<<<

Ms Rem меня обогнал, IceStudent извини

 

самое неприятное(возможно)



1) перепрограммировать контроллер прерываний(послать туда новые адреса обработчиков и сохранить реальные конечно).

2) выполнить переход с помощью программного вызова апаратного прерывания.

3) восстановить адрес обработчика(перепрограммировать обратно контроллер).

4) ну и на последок придется после передачи управления с помощью апаратного прерывания послать контроллеру сигнал для сброса соответствующего разряда регистра состояния ПКП



хотя конечно я не пробовал и может не прокатить так как возможно не получится записать OCW в контроллер просто так.



вобщем это просто идея...

 

1)setle cl;

2)setge cl;

Конструкции IF-THEN-ELSE

 

Уж эти команды точно никуда не передают управление )

 

_KLAUS_

Это ты, вобще к чему сказал?

 

div AH

div DX

div EDX

все они полюбому дергают деление на ноль

 

mix_mix см выше

так уж сводятся ???

 

Rockphorr

Нет, либо деление на ноль, либо переполнение.

 

Rockphorr

в смысле?

 

установкой флажка TF

через SEH

 

EvilsInterrupt



Изврашенные способы

- mov eax,[0FFFFFFFEh]

- Делаешь страницу памяти неприсутствующей и перехватываешь int 0Eh

- sysenter

- syscall

- переключение на задачу с измененным CR3 - это самый извращенный метод. Т.е. Ты создаешь новое отображение памяти.

- db 0F1h - ызывает исклчение неверный код операции

 

F1 - int 1

 

rmn

f1 это не неверный код операции это icebp =)

 

я об этом же

 

Основная трабла защит как всегда скрыть "тот самый" je который ведет на валидную ветку.



Интересно как можно задрапировать je?

 

EvilsInterrupt

В интелах (не знаю как в АМД) возможна отладка от одной branch к другой, а не пошаговая используя MSR и TF.

трабла защит как всегда скрыть "тот самый" je

Ну не знаю - обычно ищу адрес памяти а не je (составляя карту памяти где выполняется код, а где нет - главное скорость нахождения "того самого").

А je это уже вчерашний день, хотя текущий уровень защит столь наивен, что ...

 

в смысле есть ещё способы более извращенные

 

ud2 - db 0fh, 0bh