[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)

发表于: 2009-11-12 16:50 90938

[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)

Bughoho

2009-11-12 16:50

90938

查看主题内容

收藏・54

免费・7

支持

最新回复 (146) ◀ 1 2 3 4 5 6 ▶
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 26 楼 bug bug bug 强力支持bughoho 2009-11-12 21:11 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 27 楼强大呀。。。 2009-11-12 21:25 0
besterChen 雪币： 168 活跃值： (152) 能力值： ( LV11，RANK：180 ) 在线值：发帖 10 回帖 181 粉丝 2 关注私信	besterChen 4 28 楼完全不懂，无法学习…… 专心膜拜中…… 2009-11-12 21:29 0
冬祭雪币： 157 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 364 粉丝 0 关注私信	冬祭 29 楼围观楼主大牛~ 2009-11-12 21:30 0
onbadday 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 0 关注私信	onbadday 30 楼还有更多吗？ 2009-11-12 21:37 0
黄庆南雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 0 关注私信	黄庆南 31 楼学习一下．．． 2009-11-12 21:46 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 32 楼只能膜拜无法学习 2009-11-12 21:49 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 33 楼不是每个人都能力，有时间做一个自动还原的工具所以单纯的还原方法对大多数人用处不大 2009-11-12 21:51 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 34 楼好教材，学习！ 2009-11-12 22:03 0
patapon 雪币： 695 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 128 粉丝 0 关注私信	patapon 4 35 楼感谢大侠分享资料~~ 2009-11-12 22:21 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 36 楼来晚了，bughoho表现不错，第一次上讲台能这样，思路清晰，很成功了。 2009-11-12 22:22 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 37 楼不错啊支持了 2009-11-12 23:18 0
xiaolsz 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	xiaolsz 38 楼进来膜拜下。 2009-11-12 23:19 0
orchid88 雪币： 84 活跃值： (710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 39 楼太强大了，学习。 2009-11-13 00:02 0
溯雪雪币： 2687 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 115 粉丝 0 关注私信	溯雪 40 楼真实迅速啊，研究一下。 2009-11-13 05:08 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 41 楼我昨天还有问题没问呢，本来想当场问的，我发现周围的人都睡觉的睡觉，玩手机的玩手机，我问他们为啥不听，三字：“听不懂”。确实，没玩过VMP的确实听不太懂，呵呵，其实我也不懂。。我的问题是：那个条件路径选择，你讲的时候一句话带过了，我想知道具体的，看PPT那里面说是动态修改标志位得到两条路径么？我是这么理解的。希望BUGHOHO给讲下 2009-11-13 08:55 0
laodie 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	laodie 42 楼好东西，赞！ 2009-11-13 17:29 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 43 楼今天跟BugHOHO当面谈了一下那个问题，感觉不错，顺便还交了个朋友。 2009-11-13 18:30 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 44 楼顶一个！！下午的演讲很不错，上午看《监控》了，呵呵！！！ 2009-11-13 18:37 0
leifei 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	leifei 45 楼求Bughoho照片 2009-11-13 19:13 0
小菜鸟一雪币： 1102 活跃值： (4182) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 46 楼精华 2009-11-13 19:19 0
ainwx 雪币： 93 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	ainwx 47 楼下载学习了就要顶起来 2009-11-13 19:38 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 48 楼等bughoho回来了，去当面学习请教 2009-11-14 09:35 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 49 楼正在北京机场，寒风刺骨啊。 vmp运用的原理并不能用现有的某个固定的模式来解释它，轮转还是随机并不重要，我只是为了更形象的描述，没图的话有的人很难听懂，事实上配了图之后，当时会场上的大部分人都在睡觉。。 vmp作者的构思很奇妙，不愧是搞数理的。正如sessiondiy所说，应该是没有绝对的寄存器观念，当无法建立映射关系时，最高优先级应该是从pop处开始分析。没必要硬要说它就是这个原理或者说就是那个原理。记得upk上有个投票是讨论vmp是壳还是什么，我觉得这个并不重要，它两方面的特性都有。就好像现在的分类方法（例如google bookmark)已经不再用死板的固定分类，而是用关键字来分类一样，一个事物它可以从多方面来描述它。至于vjmp，demo版本对vjmp的参数做个简单的依赖分析就可以取出两个地址，其他版本需要用反编译的原理对将字节码分析。解密算法并不重要，完全无视。值不可靠正是因为是虚拟执行，没有运行时信息，所以值才是错的，但最指令进行反编译是从变量来分析而不是变量的值，所以也不是很重要。不知道你明白我的意思没有。在会场中讲得比PPT里多一些，光看PPT很容易误解。行程太紧，很多朋友没来得及见，可惜啊。相思相见知何日，此时此夜难为情 2009-11-14 11:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 50 楼八哥yd纵惯京城 2009-11-14 12:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Bughoho

发帖

1217

回帖

330

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (146) ◀ 1 2 3 4 5 6 ▶
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 26 楼 bug bug bug 强力支持bughoho 2009-11-12 21:11 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 27 楼强大呀。。。 2009-11-12 21:25 0
besterChen 雪币： 168 活跃值： (152) 能力值： ( LV11，RANK：180 ) 在线值：发帖 10 回帖 181 粉丝 2 关注私信	besterChen 4 28 楼完全不懂，无法学习…… 专心膜拜中…… 2009-11-12 21:29 0
冬祭雪币： 157 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 364 粉丝 0 关注私信	冬祭 29 楼围观楼主大牛~ 2009-11-12 21:30 0
onbadday 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 0 关注私信	onbadday 30 楼还有更多吗？ 2009-11-12 21:37 0
黄庆南雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 0 关注私信	黄庆南 31 楼学习一下．．． 2009-11-12 21:46 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 32 楼只能膜拜无法学习 2009-11-12 21:49 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 33 楼不是每个人都能力，有时间做一个自动还原的工具所以单纯的还原方法对大多数人用处不大 2009-11-12 21:51 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 34 楼好教材，学习！ 2009-11-12 22:03 0
patapon 雪币： 695 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 128 粉丝 0 关注私信	patapon 4 35 楼感谢大侠分享资料~~ 2009-11-12 22:21 0
kanxue 雪币： 47147 活跃值： (20410) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 36 楼来晚了，bughoho表现不错，第一次上讲台能这样，思路清晰，很成功了。 2009-11-12 22:22 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 37 楼不错啊支持了 2009-11-12 23:18 0
xiaolsz 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	xiaolsz 38 楼进来膜拜下。 2009-11-12 23:19 0
orchid88 雪币： 84 活跃值： (710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 39 楼太强大了，学习。 2009-11-13 00:02 0
溯雪雪币： 2687 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 115 粉丝 0 关注私信	溯雪 40 楼真实迅速啊，研究一下。 2009-11-13 05:08 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 41 楼我昨天还有问题没问呢，本来想当场问的，我发现周围的人都睡觉的睡觉，玩手机的玩手机，我问他们为啥不听，三字：“听不懂”。确实，没玩过VMP的确实听不太懂，呵呵，其实我也不懂。。我的问题是：那个条件路径选择，你讲的时候一句话带过了，我想知道具体的，看PPT那里面说是动态修改标志位得到两条路径么？我是这么理解的。希望BUGHOHO给讲下 2009-11-13 08:55 0
laodie 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	laodie 42 楼好东西，赞！ 2009-11-13 17:29 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 43 楼今天跟BugHOHO当面谈了一下那个问题，感觉不错，顺便还交了个朋友。 2009-11-13 18:30 0
dotNetSafe 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 134 粉丝 0 关注私信	dotNetSafe 44 楼顶一个！！下午的演讲很不错，上午看《监控》了，呵呵！！！ 2009-11-13 18:37 0
leifei 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	leifei 45 楼求Bughoho照片 2009-11-13 19:13 0
小菜鸟一雪币： 1102 活跃值： (4182) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 46 楼精华 2009-11-13 19:19 0
ainwx 雪币： 93 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	ainwx 47 楼下载学习了就要顶起来 2009-11-13 19:38 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 48 楼等bughoho回来了，去当面学习请教 2009-11-14 09:35 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 49 楼正在北京机场，寒风刺骨啊。 vmp运用的原理并不能用现有的某个固定的模式来解释它，轮转还是随机并不重要，我只是为了更形象的描述，没图的话有的人很难听懂，事实上配了图之后，当时会场上的大部分人都在睡觉。。 vmp作者的构思很奇妙，不愧是搞数理的。正如sessiondiy所说，应该是没有绝对的寄存器观念，当无法建立映射关系时，最高优先级应该是从pop处开始分析。没必要硬要说它就是这个原理或者说就是那个原理。记得upk上有个投票是讨论vmp是壳还是什么，我觉得这个并不重要，它两方面的特性都有。就好像现在的分类方法（例如google bookmark)已经不再用死板的固定分类，而是用关键字来分类一样，一个事物它可以从多方面来描述它。至于vjmp，demo版本对vjmp的参数做个简单的依赖分析就可以取出两个地址，其他版本需要用反编译的原理对将字节码分析。解密算法并不重要，完全无视。值不可靠正是因为是虚拟执行，没有运行时信息，所以值才是错的，但最指令进行反编译是从变量来分析而不是变量的值，所以也不是很重要。不知道你明白我的意思没有。在会场中讲得比PPT里多一些，光看PPT很容易误解。行程太紧，很多朋友没来得及见，可惜啊。相思相见知何日，此时此夜难为情 2009-11-14 11:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 50 楼八哥yd纵惯京城 2009-11-14 12:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复