elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  ASM (Moderador: Eternal Idol)
| | | |-+  Opcodes,informacion Indocumentada
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Opcodes,informacion Indocumentada  (Leído 5,037 veces)
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Opcodes,informacion Indocumentada
« en: 16 Julio 2013, 12:25 pm »

Solamente algunos opcodes indocumentados

[AAM]       
[AAD]
[SALC]       
[ICEBP]     
[UMOV]       
[LOADALL]
[CMOV]       
[FCMOV]     
[FCOMI]     
[RDPMC]
[INT01]     
[SALC]       
[UD2]


Undocumented OpCodes: AAD

----------------------------------------------------------------------------

AAD - D5 IMM8 - ASCII Adjust before Division


Código:
Undocumented:  Available to all Intel x86 processors
               Useful in production source code.
                                                              AAD
Flags:                               ASCII Adjust before Division
+-+-+-+-+-+-+-+-+-+                       +----------+----------+
|O|D|I|T|S|Z|A|P|C|                       | 11010101 |   DATA   |
+-+-+-+-+-+-+-+-+-+                       +----------+----------+
|+| | | |+|+|+|+|+|                       |    D5    |     IMM8 |
+-+-+-+-+-+-+-+-+-+                       +----------+----------+


This instruction is the multiplication counterpart to AAM. As is the
case with AAM, AAD uses the second byte as an operand. This operand is
the multiplicand for AAD. Like AAM, AAD provides a way to execute a MUL
IMM8 that is unavailable through any other means in the CPU. Unlike MUL,
or IMUL, AAD sets all of the CPU status flags according to the result.
Intel states that the Overflow Flag (OF), Auxiliary carry Flag (AF), and
Carry Flag (CF) are undefined. This assertion is incorrect. These flags
are fully defined, and are set consistently with respect to any other
integer operations. And again, like AMM, beginning with the Pentium,
Intel has finally acknowledged the existence of the second byte of this
instruction as its operand. Intel says:

"Note: imm8 has the value of the instruction's second byte. The second
byte under normally assembly [sic] of this instruction will be 0A,
however, explicit modification of this byte will result in the operation
described above and may alter results."

This instruction exists in this form on all Intel x86 processors. See
the file AAD.ASM for diagnostics source code for this instruction.

----------------------------------------------------------------------------


completo aqui http://www.rcollins.org/secrets/ (ademas contiene informacion importante no documentada por intel)


Opcodes funcionan para evadir emulacion de algunos AVs mier***  :silbar: , ademas podemos usar algunos de los nuevos conjunto de
instrucciones SSE 3, SSE 4 para ello tambien, pueda que quieran usar cpuid para obtener los conjuntos de instrucciones
soportados por la cpu.

Agregado a enlaces utiles.





En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #1 en: 16 Julio 2013, 17:51 pm »

Muy buen enlace :D Me pregunto que pasará con AMD :P


En línea

xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #2 en: 16 Julio 2013, 19:56 pm »

Hola

Algunas de esas instrucciones estan documentadas en los tomos de AMD.
AAM, ADD, CMOV, RDPMC y UD2, no sabia de las demas. ljmp no esta documentada al menos en los tomos de AMD.

Un saludo.

En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #3 en: 16 Julio 2013, 20:34 pm »

Ellos fueron documentados a'nos despues, el descubrimiento de estos opcodes no es reciente
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #4 en: 17 Julio 2013, 00:19 am »

El problema es que he leído que esos opcodes son exclusivos de Intel. Nada tienen que ver con x86... Entonces AMD no debería de tenerlos siquiera mapeados :/
En línea

xv0


Desconectado Desconectado

Mensajes: 1.027



Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #5 en: 17 Julio 2013, 01:35 am »

Si, los probe en un i686 y en un amd64, no funcionan tienen que ser solo para la i386, las que mencione si son validas.

Un saludo.
« Última modificación: 17 Julio 2013, 01:43 am por cpu2 » En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #6 en: 17 Julio 2013, 04:55 am »

Quiero decir 3 son documentados por intel. fueron documentados a-nos despues ya que tengo los viejos manuales de intel y
aun no estaban, esto esta disponible desde el a'no 2000.
Hasta ahorita 3/7 Antivirus vencidos, no mencionare nombres ya que despues vienen llorando. pero para tener algo en mente:



y otro famoso vencido por SSE 4  
malware empaquetado con simple encriptacion, injeccion ha sido existosa :)
Este ultimo dependiente de hardware por supuesto, pero viene ser muy util
« Última modificación: 17 Julio 2013, 05:07 am por x64Core » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sustituir opcodes q tengan "00" por otras instrucciones.
Ingeniería Inversa
Ferсhu 5 3,300 Último mensaje 12 Junio 2007, 06:07 am
por tena
Hook API Calculando cantidad opcodes.
Análisis y Diseño de Malware
fary 0 2,761 Último mensaje 5 Febrero 2015, 16:45 pm
por fary
[Pauscal] Funciones indocumentada de MSVBVM60
Programación General
Yuki 0 2,593 Último mensaje 1 Diciembre 2015, 20:36 pm
por Yuki
Funcion indocumentada RtlAdjustPrivilege
Windows
Usuario887 5 4,007 Último mensaje 31 Julio 2020, 15:57 pm
por Randomize
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines