elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  ASM (Moderador: Eternal Idol)
| | | |-+  Opcodes,informacion Indocumentada		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Opcodes,informacion Indocumentada  (Leído 4,662 veces)
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Opcodes,informacion Indocumentada
« en: 16 Julio 2013, 12:25 pm »
Solamente algunos opcodes indocumentados

[AAM]       
[AAD]
[SALC]       
[ICEBP]     
[UMOV]       
[LOADALL]
[CMOV]       
[FCMOV]     
[FCOMI]     
[RDPMC]
[INT01]     
[SALC]       
[UD2]


Undocumented OpCodes: AAD

----------------------------------------------------------------------------

AAD - D5 IMM8 - ASCII Adjust before Division


Código:
Undocumented:  Available to all Intel x86 processors
               Useful in production source code.
                                                              AAD
Flags:                               ASCII Adjust before Division
+-+-+-+-+-+-+-+-+-+                       +----------+----------+
|O|D|I|T|S|Z|A|P|C|                       | 11010101 |   DATA   |
+-+-+-+-+-+-+-+-+-+                       +----------+----------+
|+| | | |+|+|+|+|+|                       |    D5    |     IMM8 |
+-+-+-+-+-+-+-+-+-+                       +----------+----------+


This instruction is the multiplication counterpart to AAM. As is the
case with AAM, AAD uses the second byte as an operand. This operand is
the multiplicand for AAD. Like AAM, AAD provides a way to execute a MUL
IMM8 that is unavailable through any other means in the CPU. Unlike MUL,
or IMUL, AAD sets all of the CPU status flags according to the result.
Intel states that the Overflow Flag (OF), Auxiliary carry Flag (AF), and
Carry Flag (CF) are undefined. This assertion is incorrect. These flags
are fully defined, and are set consistently with respect to any other
integer operations. And again, like AMM, beginning with the Pentium,
Intel has finally acknowledged the existence of the second byte of this
instruction as its operand. Intel says:

"Note: imm8 has the value of the instruction's second byte. The second
byte under normally assembly [sic] of this instruction will be 0A,
however, explicit modification of this byte will result in the operation
described above and may alter results."

This instruction exists in this form on all Intel x86 processors. See
the file AAD.ASM for diagnostics source code for this instruction.

----------------------------------------------------------------------------


completo aqui http://www.rcollins.org/secrets/ (ademas contiene informacion importante no documentada por intel)


Opcodes funcionan para evadir emulacion de algunos AVs mier***  :silbar: , ademas podemos usar algunos de los nuevos conjunto de
instrucciones SSE 3, SSE 4 para ello tambien, pueda que quieran usar cpuid para obtener los conjuntos de instrucciones
soportados por la cpu.

Agregado a enlaces utiles.
En línea
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #1 en: 16 Julio 2013, 17:51 pm »
Muy buen enlace :D Me pregunto que pasará con AMD :P
En línea
xv0


Desconectado Desconectado

Mensajes: 1.026



Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #2 en: 16 Julio 2013, 19:56 pm »
Hola

Algunas de esas instrucciones estan documentadas en los tomos de AMD.
AAM, ADD, CMOV, RDPMC y UD2, no sabia de las demas. ljmp no esta documentada al menos en los tomos de AMD.

Un saludo.
En línea
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #3 en: 16 Julio 2013, 20:34 pm »
Ellos fueron documentados a'nos despues, el descubrimiento de estos opcodes no es reciente
En línea
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #4 en: 17 Julio 2013, 00:19 am »
El problema es que he leído que esos opcodes son exclusivos de Intel. Nada tienen que ver con x86... Entonces AMD no debería de tenerlos siquiera mapeados :/
En línea
xv0


Desconectado Desconectado

Mensajes: 1.026



Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #5 en: 17 Julio 2013, 01:35 am »
Si, los probe en un i686 y en un amd64, no funcionan tienen que ser solo para la i386, las que mencione si son validas.

Un saludo.
« Última modificación: 17 Julio 2013, 01:43 am por cpu2 » En línea
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Opcodes,informacion Indocumentada
« Respuesta #6 en: 17 Julio 2013, 04:55 am »
Quiero decir 3 son documentados por intel. fueron documentados a-nos despues ya que tengo los viejos manuales de intel y
aun no estaban, esto esta disponible desde el a'no 2000.
Hasta ahorita 3/7 Antivirus vencidos, no mencionare nombres ya que despues vienen llorando. pero para tener algo en mente:



y otro famoso vencido por SSE 4  
malware empaquetado con simple encriptacion, injeccion ha sido existosa :)
Este ultimo dependiente de hardware por supuesto, pero viene ser muy util
« Última modificación: 17 Julio 2013, 05:07 am por x64Core » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sustituir opcodes q tengan "00" por otras instrucciones.
Ingeniería Inversa 		Ferсhu 5 3,039 Último mensaje 12 Junio 2007, 06:07 am
por tena
Hook API Calculando cantidad opcodes.
Análisis y Diseño de Malware 		fary 0 2,567 Último mensaje 5 Febrero 2015, 16:45 pm
por fary
[Pauscal] Funciones indocumentada de MSVBVM60
Programación General 		Yuki 0 2,360 Último mensaje 1 Diciembre 2015, 20:36 pm
por Yuki
Funcion indocumentada RtlAdjustPrivilege
Windows 		Usuario887 5 3,512 Último mensaje 31 Julio 2020, 15:57 pm
por Randomize
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines