备注
原文地址：https://anti-debug.checkpoint.com/techniques/assembly.html
原文标题：Anti-Debug: Assembly instructions
更新日期：2021年6月23日
此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。




目录

汇编指令
以下技术旨在根据调试器在CPU执行特定指令时的行为来检测调试器的存在。

1. INT 3
指令INT3是一个中断，被用作软件断点。在没有调试器存在的情况下，在到达INT3指令后，会产生异常EXCEPTION_BREAKPOINT（0x80000003），并且会调用一个异常处理程序。如果调试器存在，控制权就不会被交给异常处理程序。
C/C++ 代码：

除了INT3指令的短形式（0xCC操作码），还有一个长形式的指令。CD 03操作码。

当异常EXCEPTION_BREAKPOINT发生时，Windows将EIP寄存器递减到0xCC操作码的假定位置，并将控制传递给异常处理程序。在INT3指令的长形式的情况下，EIP将指向指令的中间（即指向0x03字节）。因此，如果我们想在INT3指令之后继续执行，应该在异常处理程序中编辑EIP（否则我们很可能得到一个EXCEPTION_ACCESS_VIOLATION异常）。如果没有，我们可以忽略指令指针的修改。
C/C++ 代码：

2. INT 2D
就像在INT3指令的情况下，当指令INT2D被执行时，异常EXCEPTION_BREAKPOINT也被提出。但是对于INT2D，Windows使用EIP寄存器作为异常地址，然后增加EIP寄存器的值。在执行INT2D的时候，Windows还检查了EAX寄存器的值。如果它在所有版本的Windows中是1、3或4，或者在Vista+中是5，那么异常地址将被增加1。

这条指令可能会给一些调试器带来问题，因为在EIP入选后，INT2D指令后面的字节将被跳过，执行可能会从损坏的指令继续进行。

在这个例子中，我们在INT2D后面放了一个字节的NOP指令，以便在任何情况下跳过它。如果程序在没有调试器的情况下被执行，控制将被传递给异常处理程序。
C/C++ 代码：

3. ICE
"ICE "是英特尔的一个未记录的指令。它的操作码是0xF1。它可以用来检测程序是否被跟踪。

如果ICE指令被执行，EXCEPTION_SINGLE_STEP（0x80000004）异常将被引发。

但是，如果程序已经被跟踪，调试器会认为这个异常是执行指令时在Flags寄存器中设置了SingleStep位产生的正常异常。因此，在调试器下，异常处理程序不会被调用，在ICE指令后继续执行。
C/C++ 代码：

4.堆栈段寄存器
这是一个可以用来检测程序是否被追踪的技巧。这个技巧包括追踪以下汇编指令的排序：

在调试器中单步通过这段代码后，Trap 标志寄存器将被设置。通常情况下，它是不可见的，因为调试器在每个调试器事件传递后都会清除Trap 标志寄存器。然而，如果我们先前将EFLAGS保存到堆栈中，我们就能检查Trap Flag是否被设置。
C/C++ 代码：

5.指令计数
这种技术滥用了一些调试器处理EXCEPTION_SINGLE_STEP异常的方式。

这个技巧的想法是在一些预定义的序列（例如NOP序列）中为每条指令设置硬件断点。执行带有硬件断点的指令会引发EXCEPTION_SINGLE_STEP异常，这个异常可以被一个定向的异常处理程序捕获。在异常处理程序中，我们增加一个寄存器，这个寄存器起到指令计数器（在我们的例子中是EAX）和指令指针EIP的作用，将控制权传递给序列中的下一条指令。因此，每当控制被传递到我们序列中的下一条指令时，异常就会被引发，计数器也会被递增。序列结束后，我们检查计数器，如果它不等于我们序列的长度，我们就把它看作是程序正在被调试的情况。
C/C++ 代码：

6.POPF和Trap标志寄存器
这是另一个可以表明程序是否被追踪的技巧。

在Flags寄存器中有一个Trap标志。当Trap 标志寄存器被设置时，异常SINGLE_STEP被引发。然而，如果我们追踪了代码，Trap 标志寄存器将被调试器清除，所以我们不会看到这个异常。
C/C++ 代码：

7.指令前缀
这个技巧只在一些调试器中起作用。它滥用了这些调试器处理指令前缀的方式。

如果我们在OllyDbg中执行下面的代码，在步进到第一个字节F3后，我们会立即到达尝试块的末端。调试器只是跳过前缀，将控制权交给INT1指令。

如果我们在没有调试器的情况下运行同样的代码，就会产生一个异常，我们就会进入 except block。
C/C++ 代码：

反制措施
调试期间：

对于反调试绕过工具的开发：没有反制措施。

bool IsDebugged()
{
    __try
    {
        __asm int 3;
        return true;
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        return false;
    }
}

bool g_bDebugged = false;

int filter(unsigned int code, struct _EXCEPTION_POINTERS *ep)
{
    g_bDebugged = code != EXCEPTION_BREAKPOINT;
    return EXCEPTION_EXECUTE_HANDLER;
}

bool IsDebugged()
{
    __try
    {
        __asm __emit(0xCD);
        __asm __emit(0x03);
    }
    __except (filter(GetExceptionCode(), GetExceptionInformation()))
    {
        return g_bDebugged;
    }
}

bool IsDebugged()
{
    __try
    {
        __asm xor eax, eax;
        __asm int 0x2d;
        __asm nop;
        return true;
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        return false;
    }
}

bool IsDebugged()
{
    __try
    {
        __asm __emit 0xF1;
        return true;
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        return false;
    }
}

push ss 
pop ss 
pushf

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！