程序是既不能检测到也不能绕过高质量仿真调试器的。可是,在本书写作时还不存在功能完备的针对奔腾处理器的仿真器,而且也不太可能会很快出现。
但是,是否有必要开发这类仿真调试器呢?奔腾处理器提供了一系列的控制功能,它们甚至可以控制特许 *** 作代码!它们支持单步执行程序,捕获位于指定地址的指令执行,并提供对指定的内存单元(或者输入/输出端口)的访问,以及任务切换等功能。
如果标志寄存器的追踪位被置位,那么执行每一条机器指令后都会产生调试中断INT 1,并将控制传给调试器。通过分析标志寄存器,被调试的代码能够检测到追踪。因此,为了保证其 *** 作不被发现,调试器必须识别读取标志寄存器的指令,并通过返回值为零的追踪位来仿真其执行结果。
必须注意如下的一种重要情形:在执行了修改SS寄存器的指令之后,并不会引发调试异常。调试器必须知道如何识别这种情形,并自行在下一条指令上设置断点。否则,追踪者就不能进入指令POP SS后面的过程(例如:PUSH SSPOP SSCALL MySecrectProc)。并不是所有的当代调试器都具有这一功能的,因此,虽然这一点已被发现了很长时间,但这种技巧可能依然有效。
有四个调试寄存器(即DR0~DR3),它们用于存放四个断点的线性地址,而控制寄存器DR7包含了这四个断点中的每一个的控制条件。当满足该条件时,处理器产生INT 0x1异常并将控制传给调试器。总共有四个中断的条件:当执行指令时发生中断,如果内存单元被修改则发生中断,当读取或者修改但不执行内存单元时发生中断,以及当访问输入/输出端口时发生中断。
通过设置特定的数据位,就可以在调试寄存器被访问的任何时间引发调试异常。即使是特许执行代码试图读取(或者修改)这些寄存器时,也会引发调试异常。无论被调试的代码有怎样的执行特权,设计精良的调试器都能够隐藏自己的行迹而不让被调试的代码发现自己(虽然如果 *** 作代码调试自己,那么调试器不能使用全部的四个断点)。
如果任务的任务状态段(TSS)的T位被置位,那么每当切换到该任务时,在执行该任务的第一条指令之前,都会引发调试异常。为了防止正被调试的代码发现调试器的存在,调试器应该追踪访问其TSS的所有 *** 作,并把虚构的数据返回程序。必须注意:基于性能的考虑,Windows NT并不使用TSS(或者更精确地说,在一个硬件任务的所有运行时间内,它都只使用一个TSS),因此在这种情形中,调试可能是无效的。
软件断点是惟一的一种不编写功能完整的处理器仿真器就不能被隐藏的对象。它表示为一个字节的代码0xCC,放在指令之前,当出现任何企图执行它的 *** 作时都将引发INT 0x3异常。对于被调试的程序,计算求和校验位就足以发现是否至少设置了一个断点。可以使用诸如MOV,MOVS,LOAS,POP,CMP或者CMPS之类的指令来实现这一点,因为没有一种调试器能够追踪和仿真全部的这类指令。
我们强烈地建议,只有在硬件断点不满足需要时,才使用软件断点。然而,实际上,所有的当代调试器(包括SoftIce)都默认地设置软件断点而不是硬件断点。这一事实可以成功地用于保护机制。
弄程序我外行。但我知道世界普遍事情的纠错是依照宇宙的基本法则--我们所知道的自然法则-常识做依据标准,与通过‘心’和其他感觉器官感知到的外部信息进行对照比较,判别抉择出对自己最有利的方法选项,然后执行。
程序的debug原理应该类似:建立准则基准,把输入信息与之比较,吻合的保留,否则修正或剔除。
无论如何,做人准则是自然常识;弄程序要熟知基础规则。
之后的 ‘抉择有利项‘事情,无非比较权衡之类,正常人都会。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)