Сегментный регистр FS
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Сегментный регистр FS - 2008-12-20 19:22:03.256666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Господа, кому не сложно скажите чему у вас равен сегментный регистр FS. На живом железе и, если у кого есть, особенно важно на виртуалке. Для тех кто не знает что это, и как определить - просто запустите программу http://ifolder.ru/9657239 (7 кб) и напишите число которое она выдаст. Вирусов нет 100%
P.S. Очень нужно!
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 15:18:57.536666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
UP
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 16:55:44.600000
|
|
|
Login_hochu
Сообщений: 1471
Оценки: 0
Присоединился: 2007-07-15 14:19:23.423333
|
3B , раз так интересно.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 17:28:39.663333
|
|
|
il0dbg
Сообщений: 66
Оценки: 0
Присоединился: 2007-10-30 01:32:31.366666
|
3B и, если надо 7FFDF000.
Автор, откуда иконку такую красивую взял?
И где можно нарыть иконок такого типа?
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 17:47:59.350000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ассемблер если учить, то там четко объясняется, что чем заполняется, как используется, и вообще что будет в данном регистре зависит ТОЛЬКО ОТ ПРОГРАММИСТА. Или от программы в процессе работы. Но опять же как использовать и чем заполнять данный регистр зависит ТОЛЬКО ОТ ПРОГРАММИСТА. Проще. Что будет в данный момент времени в данном регистре зависит от программы которая на данный момент выполняется и от программиста который ее написал. Поэтому данный вопрос как-то непонятен.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 18:37:41.193333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
В этом все и дело :) Просто на днях ковырял трояна, который использует данный регистр для вычисления опкода, который передается в стэк, затем идет call esp. И если запущено на живом железе FS=3Bh выходим из call esp по ret. Если на виртуалке запущено (в частности на VirtualBox у меня), то FS = 38h и в стэк уже не попадает опкод ret, но call esp все равно вызывается. Т.о. на виртуальной машине троян оказывался неработоспособным! Вот я и хотел узнать возможно ли так детектить виртуальные машины или нет.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 20:09:46.130000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ну не знаю. Тут надо сам троян дизассемблировать. Судя по всему, после вызова call, на реальной машине возврат идет нормальный. А вот из виртуальной - нет , нет окончания вызова через ret. Но тут возможна проблема в самом трояне. Точнее в его использовании стека при вызове call. Надо пройтись по данной цепочке. Троян, скорей всего, действует через какое-то программное оборудование, скорей всего через прерывание винчестера. И использует именно данные винта. А в виртуалке они другие. Вот тут возможно и кроется проблема в неработоспособности трояна. Хотя я могу и ошибаться.
Но так уж и быть для статистики результат работы проги - 3B.
Хм. Интересно что у тебя получиться. В общих чертах,не вникая в подробности. Сообщищь потом.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 20:31:00.816666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
ORIGINAL: zzsnn
Тут надо сам троян дизассемблировать. ……….
…………Троян, скорей всего, действует через какое-то программное оборудование, скорей всего через прерывание винчестера. И использует именно данные винта. А в виртуалке они другие. Вот тут возможно и кроется проблема в неработоспособности трояна.
Уже дизасемблировал же :) Никакие данные винта он не использует все упирается именно в сегментный регистр FS. Необходимо лишь провести тест и посмотреть чему он равен на реальных тачках и на виртуальных. Что я и пытаюсь сделать.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-21 21:33:38.583333
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
3B , на вируалке не знаю, ось на ней слетела.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-24 07:55:22.330000
|
|
|
CATS
Сообщений: 31
Оценки: 0
Присоединился: 2008-12-09 09:36:38
|
берем книгу по асьму (Зубков С.В.) и смотрим - FS - сегмент данных. Значит, регистр кажет место где хранится сегмент (элементарно, не правда ли?). Дальше идем путем размышлений - что такого различается в виртуалке и железке обычной? Что-то насчет работы с памятью, кажется. Идем туда и разбитаемся почему и отчего.
ЗЫ. заодно, возможно, разберешься хранит ли вынь в том регистре какой-то свой скарб или это просто так троян защищается :)
тут вспомнил - кажись, кусок БИОСа в памяти также висит? если что - не пинать больно, я только учусь! )))
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-24 14:25:57.200000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Открываем книгу "Ассемблер для процессоров Intel Pentium" (Юрий Магда), страница 59
……При использовании директивы SEGMENT потребуется указать компилятору на то, что все сегментные регистры устанавливаются в соответствии с моделью памяти flat. Это можно сделать пр помощи директивы ASSUME:
ASSUME CS: FLAT, DS: FLAT, SS: FLAT, ES: FLAT, FS: ERROR, GS: ERROR
Регистры FS и GS программами не используются, поэтому для них указывается атрибут ERROR.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-24 14:35:32.593333
|
|
|
CATS
Сообщений: 31
Оценки: 0
Присоединился: 2008-12-09 09:36:38
|
скорее всего туплю. уже совсем забыл асьм.. но все равно ты заставил задуматься (сегодня даже сел в последние 3 года за него, родимый поразбираться :) )
ps. как будет время, поразбираюсь и сам
pps. на рабочей машинке (XP SP2 кажись под виртуалкой VmWare Server) выдает "3B" если что, вмварь сервер качается на раз (+высылают ключики для регистрации студентов + универов)..
буду ждать продолжения :)
по вопросу "FS и GS не используются" это только для Win, я так понял?
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-24 14:47:37.203333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
На VMWare у всех стабильно, как и на живом железе FS = 3B. На VirtualBox у мну FS = 38.
P.S. Поактивнее господа, довайте выясним всетаки, можно так детектить некоторые ВМ и какие.
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-24 15:14:53.336666
|
|
|
CATS
Сообщений: 31
Оценки: 0
Присоединился: 2008-12-09 09:36:38
|
врядли так детектить можно..
|
|
|
|
|
RE: Сегментный регистр FS - 2008-12-24 21:02:40.130000
|
|
|
MEPOX
Сообщений: 868
Оценки: 0
Присоединился: 2008-03-16 10:11:26.610000
|
Flint_ta, под твоей программной всё как у людей – 3B под syser'ом пишет "0030" что для cpu0 что для cpu1..
P.S может это глюк сисера, я не знаю.. софтайс у меня не ставится, так что ничего утверждать не могу.
|
|
|
|
|
|
