[求助]如果判断一个程序里的int 3是由编译器产生，还是编程者故意写入？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼紧跟着壳的步伐咧。 2008-6-29 00:43 0
脱壳请教雪币： 244 活跃值： (105) 能力值： ( LV5，RANK：60 ) 在线值：发帖 41 回帖 252 粉丝 2 关注私信	脱壳请教 1 3 楼不懂楼上说的是什么意思呀？ 2008-6-30 02:23 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 4 楼 2楼是要你单步跟踪..紧跟这壳走....嘿嘿 2008-7-2 15:46 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼编译器产生的int3指令，主要是用来调试，当程序跑飞了时，可以被调试器接管，所以int3指令常常是很多个指令在一起，填充在函数体之间的空隙，或者像VC那样，调试版的程序，编译器用0xCC来初始化局部变量，这样如果发生栈溢出，程序跑到数据区执行就可能被调试器发现。而程序员有意地插入int3,最可能的情况是使用SEH来反调试，那么从正向角度考虑，它应该被一个try块所包围，从逆向的角度考虑，int3 指令是混在正常的指令流之中，而不是一种填充的形式，并且它上方不太远的地方一定会有一个安装SEH的地方，这个很容易识别，只要看到fs:[0]，基本上就是了。个人观点，如有错误请指正。 2008-7-2 16:13 0
脱壳请教雪币： 244 活跃值： (105) 能力值： ( LV5，RANK：60 ) 在线值：发帖 41 回帖 252 粉丝 2 关注私信	脱壳请教 1 6 楼没有，这个程序INT 3附近是没有FS：[0]这些的，INT 3的异常捕捉是由另外一个子进程来完成的 2008-7-2 23:07 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 7 楼默认是故意写入的 [QUOTE=脱壳请教;475156]没有，这个程序INT 3附近是没有FS：[0]这些的，INT 3的异常捕捉是由另外一个子进程来完成的[/QUOTE] 2008-7-3 10:57 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 8 楼编译器产生的int3指令，主要是用来调试，当程序跑飞了时，可以被调试器接管，所以int3指令常常是很多个指令在一起，填充在函数体之间的空隙 =============================== 我认为这个说法有问题，调试的时候编译产生的INT 3指令是动态的替换对应断点的指令，并不是函数体之间的空隙，而变量周围的0xCC 才是填充，程序经过断点处被(有两次机会)被调试器挂住。在壳里面放INT 3弄不好会被调试器挂住(如果装了调试器的话)，其实这种方法并不好。不知道你将所有的INT 3全部用PE工具改成空指令，它会不能正常解码吗？ 2008-7-3 15:11 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 9 楼最近流行int3，看出来了 2008-7-3 15:15 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 10 楼 C3 CC CC CC CC CC C2 XX CC CC CC CC CC 2008-7-3 19:36 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 11 楼判断是否被SoftICE跟踪? 2008-7-3 19:47 0
脱壳请教雪币： 244 活跃值： (105) 能力值： ( LV5，RANK：60 ) 在线值：发帖 41 回帖 252 粉丝 2 关注私信	脱壳请教 1 12 楼没错，这是大部分，但是还有一部分不是这样的 2008-7-4 01:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼紧跟着壳的步伐咧。 2008-6-29 00:43 0
脱壳请教雪币： 244 活跃值： (105) 能力值： ( LV5，RANK：60 ) 在线值：发帖 41 回帖 252 粉丝 2 关注私信	脱壳请教 1 3 楼不懂楼上说的是什么意思呀？ 2008-6-30 02:23 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 4 楼 2楼是要你单步跟踪..紧跟这壳走....嘿嘿 2008-7-2 15:46 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼编译器产生的int3指令，主要是用来调试，当程序跑飞了时，可以被调试器接管，所以int3指令常常是很多个指令在一起，填充在函数体之间的空隙，或者像VC那样，调试版的程序，编译器用0xCC来初始化局部变量，这样如果发生栈溢出，程序跑到数据区执行就可能被调试器发现。而程序员有意地插入int3,最可能的情况是使用SEH来反调试，那么从正向角度考虑，它应该被一个try块所包围，从逆向的角度考虑，int3 指令是混在正常的指令流之中，而不是一种填充的形式，并且它上方不太远的地方一定会有一个安装SEH的地方，这个很容易识别，只要看到fs:[0]，基本上就是了。个人观点，如有错误请指正。 2008-7-2 16:13 0
脱壳请教雪币： 244 活跃值： (105) 能力值： ( LV5，RANK：60 ) 在线值：发帖 41 回帖 252 粉丝 2 关注私信	脱壳请教 1 6 楼没有，这个程序INT 3附近是没有FS：[0]这些的，INT 3的异常捕捉是由另外一个子进程来完成的 2008-7-2 23:07 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 7 楼默认是故意写入的 [QUOTE=脱壳请教;475156]没有，这个程序INT 3附近是没有FS：[0]这些的，INT 3的异常捕捉是由另外一个子进程来完成的[/QUOTE] 2008-7-3 10:57 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 8 楼编译器产生的int3指令，主要是用来调试，当程序跑飞了时，可以被调试器接管，所以int3指令常常是很多个指令在一起，填充在函数体之间的空隙 =============================== 我认为这个说法有问题，调试的时候编译产生的INT 3指令是动态的替换对应断点的指令，并不是函数体之间的空隙，而变量周围的0xCC 才是填充，程序经过断点处被(有两次机会)被调试器挂住。在壳里面放INT 3弄不好会被调试器挂住(如果装了调试器的话)，其实这种方法并不好。不知道你将所有的INT 3全部用PE工具改成空指令，它会不能正常解码吗？ 2008-7-3 15:11 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 9 楼最近流行int3，看出来了 2008-7-3 15:15 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 10 楼 C3 CC CC CC CC CC C2 XX CC CC CC CC CC 2008-7-3 19:36 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 11 楼判断是否被SoftICE跟踪? 2008-7-3 19:47 0
脱壳请教雪币： 244 活跃值： (105) 能力值： ( LV5，RANK：60 ) 在线值：发帖 41 回帖 252 粉丝 2 关注私信	脱壳请教 1 12 楼没错，这是大部分，但是还有一部分不是这样的 2008-7-4 01:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复