对抗启发式代码仿真检测技术分析（2）_MySQL

bitsCN.com   ，例如这样打开一个文件的操作,虽然我没有测试过这种方式。
　　
      mov ax, 3D02h ;0x3D02 是密钥
　　add ax, key
　　int 21h　　1 通过指令预取反跟踪技术：
　　早期的处理器，像386或者486都使用了指令队列预期(PIQ)技术来提高代码执行效率。这一技术的本质是，当CPU将要执行一条指令时，它已经将该指令预先读到了CPU的cache中了。所以在此之前的修改对CPU来说已经没有影响了。让我看一个这样的例子：
　　
      mov word ptr cs:[offset piq], 20CDh
　　piq:
　　nop
　　nop　　你应该会想到这个程序将结束运行，因为两个字节的nop 指令会被覆盖为 int 20h(译者注：int 20h 是返回DOS的指令)。但在386或486的机器上去并非如此，因为nop指令已经在cpu的cache中了。但在Pentium/Pentium II 体系的机器中运行时，指令则会被覆盖，程序执行后退出。
　　如果你想利用这一特性来对抗启发式检测技术的话，你就必须知道在386/486年代这是一种广泛的对抗启发式检测的手段。但是随着AVs的改进，他们已经加入了对指令预期技术的支持。这是不是件很不可思议的事情，他们仿真的东西竟是不存于现在的处理器当中的。让我们再看看上面的例子，这是我们用来对付他们的，在 pentium 或者更高级别的处理上面，像我所说的那样，程序会终止，因为这些处理器没有使用PIQ技术。但大部分的AVs会继续让代码执行那两个nops，因为他们要仿真PIQ。所有这块我们这样做：
　　
      mov word ptr [offset prefetch], 06C7h
　　prefetch:
　　int 20h
　　dw offset decrypt_key
　　dw key　　int 20h 指令将被覆盖，替换它的将是下面的指令
　　
mov word ptr [decrypt_key], key　　基于对PIQ的考虑，AVs将终止程序的执行。但实际上我们的程序将继续运行，在我们的加密处理函数中设置密钥。我们仅存在一个问题，那就是我们的代码要运行在Pentiums或更高级别的处理器上面。为了使之兼容486系列或更低一些处理器，我们只需清除掉PIQ之间的两条指令。
　　没有什么比这更简单的了!当然，你也要知道清除所有jump类指令(jmp, call, loop, int...)之间的PIQ(这一点是必需的，如果你想这样做的话)。但是我们不能简单的处理JMP Short $+2之间的指令，对于清除PIQ来说它应该是正常被执行的，因为代码仿真器是会察觉到这一点的。
　　但是我们可以使用一个特殊的功能，CPU的陷阱标志。如果这个标志被置位，那么其后的任何指令执行都将触发int 1 的中断调用，记住这样会清除PIQ。这通常是在的调试状态下，1号中断向量只是简单的 IRET，所以我们可以使用没有任何问题。无论如何，执行后再次清除陷阱标志都是个很好的主意。下面展示的代码可以运行在任何处理器上(assumes DS = CS)。
　　
      pushf ;flags on the stack
　　pop ax ;flags from stack into AX
　　or ax, 100000000b ;set trap flag
　　push ax ;put the modified flags in AX back...
　　popf ;into the flag register via the stack
　　mov word ptr [offset prefetch], 06C7h ;modify the following instruction
　　prefetch: ;here gets int1 called => clears PIQ
　　int 20h ;This is never executed
　　dw offset decrypt_key ;where we want to write our key to
　　dw key ;the actual decryption key
　　pushf ;clear the trap flag again with
　　pop ax ;the same method as above.
　　xor ax, 100000000b ;will also fool some debuggers
　　push ax
　　popf
　　mov word ptr [offset prefetch], 20CDh ;restore the int20h (next generations)bitsCN.com