антиотладка или глюк ?

[begemot]

трассирую эксплоит, он начинается с такого кода
add edx, esp
das
xchg eax, ebx
mov al, 49h
xchg eax, edi
lahf
daa
при прохождении по шагам (использую windbg в режиме usermode) после выполнения команды lahf управлении в отладчик не возвращается, если поставить бряк на daa, то бряк отрабатывает
это такая антиотладка (тогда как она работает) или глюк ?

[ARCHANGEL]

Протрейсил всё по single step - всё работает как и обычно. Трейсил в олли.

[keyst0rke]

Может быть и на мой вопрос найдётся ответ...(:
Есть мини код:

Code:

6A 01				; push 1

58					; pop eax

36					; PREFIX SS: (как все поняли это никакая не команда)

6448				; dec eax

50					; push eax

FF15 [ExitProcess]	; call ExitProcess

Когда трейсишь в Olly, то она показывает, что dec eax не выполняется и казалось бы eax должен быть равен единице, но на деле сама уменьшает его на 1, в чём дело?
Почему она показывает одно, а делает другое?
С этим кодом то же самое:

Code:

6A 00				; push 0

58					; pop eax

36					; PREFIX SS: (как все поняли это никакая не команда)

6440				; inc eax

50					; push eax

FF15 [ExitProcess]	; call ExitProcess

То есть в обоих случаях Олли показывает, что команда не исполняется, на самом деле она ещё как исполняется. EIP, кстате тоже пропускает эту команду и прыгает сразу на push eax...



Кажется понял, протрейсил в Syser, он показывает:

Code:

36:6440				inc eax

И выходит, что процессор воспринимает эту команду как просто inc eax, пропуская ss:

[REU]

Это кривой дизассемблер в олли, есть патч, который именно этот баг с префиксами фиксит.

[ARCHANGEL]

А я всегда так трейсил - ну игнорится тут префикс и всё. Любой префикс сам по себе командой не является. Дизасм ставит его отдельной строкой, ну и что?