"disassembler", darf man nicht mit einem Debugger verwechseln. Fast jeder Debugger enthält auch einen Disassembler aber nicht jeder Disassmbler muß ein Debugger sein.
Wird mit einem aktiven Debugger ein Programm getracet dann kann man die "Anti-Disassembler" Tricks erkennen.
Ein einfacher Disassembler-Trick ist zB. der Call-Stack-Trick. Dabei manipuliert man den aktiven Aufrufstack fun Proceduren so daß der Programmfluß an einer anderen Stelle weitergeht. Der passive Disassembler kann dies NICHT erkennen, er ist dummm.
Dies sähe z.B. so aus:
Delphi-Quellcode:
procedure Hiddenproc;
begin
end;
var
MyProc: procedure = HiddenProc;
procedure CallHiddenProc;
begin
MyProc;
// obiger Aufruf benutzt einen Indirekten Call, d.h. es wird an die Speicherstelle die in MyProc steht gesprungen.
end;
Der Disassembler sieht nun einen Code der aus der Speicherstelle an Addresse on @MyProc einen Pointer lädt und dahin im program springt. Diese Speicherstelle @MyProc kann aber dynamisch während der Programmlaufzeit modifiziert werden. Diese Modifizierung kann abhänig vom RegCode sein.
D.h. der Programmfluß wird auf direktem Weg dynamisiert. Nur mit einem aktiven Debugger kann man erhausbekommen wohin das Program tatsächlich springt.
Natürlich ist obiger "Trick" kein Trick im eigentlichen Sinne sondern ein Normalzustand in heutigen Programmen. Obiges Beispiel ist aber das Minimal-Beispiel wie Disassembler ausgetrickst werden können.
Hier mal ein anders:
Delphi-Quellcode:
procedure HiddenProc;
begin
ShowMessage('
Hidden');
end;
procedure MyCaller(Proc: Pointer);
asm
XCHG [ESP],EAX
end;
procedure CallHiddenProc;
procedure DoCall;
begin
MyCaller(@HiddenProc);
ShowMessage('
Test');
end;
begin
DoCall;
ShowMessage('
Test1');
end;
Aber auch dieser Trick ist zu offensichtlich für gute Cracker, ein passiver Dissassembler kann aber NICHT mehr den Code in HiddenProc exakt identifizieren.
Gruß Hagen