разбираю тут одну дээлельку в IDA, одна функция никак не поддается, непонятные опкоды встречаются.
вот пример: есть еще три кусочка кода непонятных, два тоже с OF 3F начинаются, а один с 0F B8.
в функе есть указатели на строки, упоминающие виртуальные машины.
судя по всему в функции детектится как-то, не под виртуалкой ли она работает.
в Symantec'овской презентации "Attacks on Virtual Machine Emulators" есть такой кусочек текста:

Detecting VirtualPC:

- IDT/GDT at high memory address
- Non-zero LDT
- 0F 3F opcode
- 0F C7 C8 opcode
- Overly long instruction
- Device names

то есть с помощью опкода 0F 3F детектится VirtualPC?
а как? что этот опкод делает? и почему IDA Pro 5.2 его не понимает?

| Сообщение посчитали полезным:

ufo_maniac пишет:
то есть с помощью опкода 0F 3F детектится VirtualPC?а как? что этот опкод делает? и почему IDA Pro 5.2 его не понимает?
Это байты - несуществующей команды процессора, изза этого ида их и не распознает. Когда этот код выполняется под виртуалкой, то выполнение такой инструкции вызывает исключение. Виртуалка перехватывает его и выполняет какой-то код изменяя значения регистров. Если виртуалки нет, то это исключение поймает обработчик в самой твоей DLL. Вот так и определяется есть виртуалка или нет.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx пишет:
Это байты - несуществующей команды процессора
...
спасибо, с твоей помощью разобрался.
сначала функа детектит VМware (c помощью "магического числа" 564D5868h и порта 5658h), потом детектит VirtualPC (LDT и GDT проверяет), потом детектит QEMU, потом еще что-то...
вот тут статья о детекте виртуалок:
pferrie.tripod.com/papers/attacks2.pdf
в общем, для моих целей эти дела можно занопить и продолжать,
а тему можно закрыть. еще раз спасибо!

| Сообщение посчитали полезным: