Imprimir Página - Opcodes,informacion Indocumentada

Título: Opcodes,informacion Indocumentada
Publicado por: x64core en 16 Julio 2013, 12:25 pm

Solamente algunos opcodes indocumentados

[AAM]
[AAD]
[SALC]
[ICEBP]
[UMOV]
[LOADALL]
[CMOV]
[FCMOV]
[FCOMI]
[RDPMC]
[INT01]
[SALC]
[UD2]

Undocumented OpCodes: AAD

----------------------------------------------------------------------------

AAD - D5 IMM8 - ASCII Adjust before Division

Código:

Undocumented:  Available to all Intel x86 processors
               Useful in production source code.
                                                              AAD
Flags:                               ASCII Adjust before Division
+-+-+-+-+-+-+-+-+-+                       +----------+----------+
|O|D|I|T|S|Z|A|P|C|                       | 11010101 |   DATA   |
+-+-+-+-+-+-+-+-+-+                       +----------+----------+
|+| | | |+|+|+|+|+|                       |    D5    |     IMM8 |
+-+-+-+-+-+-+-+-+-+                       +----------+----------+


This instruction is the multiplication counterpart to AAM. As is the 
case with AAM, AAD uses the second byte as an operand. This operand is 
the multiplicand for AAD. Like AAM, AAD provides a way to execute a MUL 
IMM8 that is unavailable through any other means in the CPU. Unlike MUL, 
or IMUL, AAD sets all of the CPU status flags according to the result. 
Intel states that the Overflow Flag (OF), Auxiliary carry Flag (AF), and 
Carry Flag (CF) are undefined. This assertion is incorrect. These flags 
are fully defined, and are set consistently with respect to any other 
integer operations. And again, like AMM, beginning with the Pentium, 
Intel has finally acknowledged the existence of the second byte of this 
instruction as its operand. Intel says:

"Note: imm8 has the value of the instruction's second byte. The second 
byte under normally assembly [sic] of this instruction will be 0A, 
however, explicit modification of this byte will result in the operation 
described above and may alter results."

This instruction exists in this form on all Intel x86 processors. See 
the file AAD.ASM for diagnostics source code for this instruction. 

----------------------------------------------------------------------------

completo aqui http://www.rcollins.org/secrets/ (ademas contiene informacion importante no documentada por intel)

Opcodes funcionan para evadir emulacion de algunos AVs mier*** :silbar: , ademas podemos usar algunos de los nuevos conjunto de
instrucciones SSE 3, SSE 4 para ello tambien, pueda que quieran usar cpuid para obtener los conjuntos de instrucciones
soportados por la cpu.

Agregado a enlaces utiles.

Título: Re: Opcodes,informacion Indocumentada
Publicado por: Karcrack en 16 Julio 2013, 17:51 pm

Muy buen enlace :D Me pregunto que pasará con AMD :P

Título: Re: Opcodes,informacion Indocumentada
Publicado por: xv0 en 16 Julio 2013, 19:56 pm

Hola

Algunas de esas instrucciones estan documentadas en los tomos de AMD.
AAM, ADD, CMOV, RDPMC y UD2, no sabia de las demas. ljmp no esta documentada al menos en los tomos de AMD.

Un saludo.

Título: Re: Opcodes,informacion Indocumentada
Publicado por: x64core en 16 Julio 2013, 20:34 pm

Ellos fueron documentados a'nos despues, el descubrimiento de estos opcodes no es reciente

Título: Re: Opcodes,informacion Indocumentada
Publicado por: Karcrack en 17 Julio 2013, 00:19 am

El problema es que he leído que esos opcodes son exclusivos de Intel. Nada tienen que ver con x86... Entonces AMD no debería de tenerlos siquiera mapeados :/

Título: Re: Opcodes,informacion Indocumentada
Publicado por: xv0 en 17 Julio 2013, 01:35 am

Si, los probe en un i686 y en un amd64, no funcionan tienen que ser solo para la i386, las que mencione si son validas.

Un saludo.

Título: Re: Opcodes,informacion Indocumentada
Publicado por: x64core en 17 Julio 2013, 04:55 am

Quiero decir 3 son documentados por intel. fueron documentados a-nos despues ya que tengo los viejos manuales de intel y
aun no estaban, esto esta disponible desde el a'no 2000.
Hasta ahorita 3/7 Antivirus vencidos, no mencionare nombres ya que despues vienen llorando. pero para tener algo en mente:

(http://s21.postimg.org/f3bgrwu1z/0x974834877289864783941246612.png)

y otro famoso vencido por SSE 4
malware empaquetado con simple encriptacion, injeccion ha sido existosa :)
Este ultimo dependiente de hardware por supuesto, pero viene ser muy util

Foro de elhacker.net

Programación => ASM => Mensaje iniciado por: x64core en 16 Julio 2013, 12:25 pm