[求助]求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎

发表于: 2010-12-24 13:08 12114

[求助]求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎

liugeshao

2010-12-24 13:08

12114

求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (25) 1 2 ▶
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2 楼基于虚拟机的反汇编引擎是什么 2010-12-24 14:34 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 3 楼 “基于虚拟机的反汇编引擎”这个好像有点本末倒置，也有可能我学识浅薄，反正我没见过为了反汇编引擎这样大动干戈的，对于应用程序的虚拟不是简单的虚拟一个CPU就完事了，还要虚拟操作系统的许多结构，如果直接用操作系统本身的，那叫调试器。一般反汇编器都是基于线扫描或递归扫描，来流过代码所有分支，而虚拟机通过动态模拟是可能无法流过程序的所有分支，所以有基于反汇编的代码模拟虚拟机，反过来好像不行。 2010-12-24 15:27 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 4 楼求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎 2010-12-24 23:45 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 5 楼求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎 2010-12-26 16:20 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 6 楼求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎 2010-12-27 00:24 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 7 楼估计你是想找通用脱壳机，在网上搜这个关键词吧。顺便说一句，那东西要是真能“通用”，看雪早就解散了 2010-12-27 12:46 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 8 楼是基于虚拟机的脱壳机，我只是想研究如何实现的 2010-12-27 17:22 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 9 楼我没研究过这个问题，但是我见到过两种虚拟机脱壳思路：第一种，由于很多种类的壳都可以用“堆栈平衡、popad、.code两次内存断点”等这样类似通用脱壳法，使用虚拟机就可以自动模拟这些通用脱壳法，其实基于调试器的方法也可以实现，而且更简单，但是像杀毒软件这样需要封闭测试环境的还是倾向于使用虚拟机。第二种，通过虚拟机对比程序流图的特征来判断是程序加了那种壳，然后调用对应的专用脱壳模块来脱壳，许多基于虚拟机的杀软就是使用这种方法，原因是纯虚拟机脱壳，不但通用性不好，而且对大循环的执行速度较慢 2010-12-27 19:01 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 10 楼是基于虚拟机的脱壳机 2011-1-3 23:25 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 11 楼是基于虚拟机的脱壳机 2011-1-7 03:51 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼 linxer写过，详情可以问他，我猜测原理是这样的： 1. 模拟windows加载器加载PE文件的过程加载目标程序。 2. 实现一个基于x86指令集的虚拟机，解释执行目标程序从程序入口开始的代码 3. 遇到特定的条件(比如当前执行的代码类似vc/delphi/asm编译的程序的入口代码或者当前eip处于第一区段)停止执行虚拟机并DUMP 2011-1-7 20:47 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 13 楼 linxer好牛啊 2011-1-7 20:55 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 14 楼基于虚拟机的脱壳机 2011-1-12 05:04 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 15 楼基于虚拟机的脱壳机 2011-1-12 18:00 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 16 楼于虚拟机的脱壳机 2011-1-12 22:51 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 17 楼基于虚拟机的脱壳机 2011-1-13 18:15 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 18 楼你对壳根本不了解。 2011-1-14 10:48 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 19 楼我來個基於虛擬機的回貼 2011-1-14 12:35 0
奘和雪币： 4902 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 20 楼我是来看LZ刷楼的 2011-1-14 12:38 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 21 楼我只是想学习一下，没办法只好刷楼了 2011-1-14 20:51 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 22 楼是的，我只是学习一下，好像LINXER并不是真正虚拟机的，只是模拟了CPU和楼上讲的那样有的话能否提供一个 2011-1-14 21:03 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 23 楼模拟windows加载器加载PE文件的过程加载目标程 2011-1-15 03:32 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 24 楼模拟windows加载器加载PE文件的过程加载目标程 2011-1-15 15:49 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 25 楼對LZ的網速表示同情 2011-1-18 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liugeshao

发帖

119

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2 楼基于虚拟机的反汇编引擎是什么 2010-12-24 14:34 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 3 楼 “基于虚拟机的反汇编引擎”这个好像有点本末倒置，也有可能我学识浅薄，反正我没见过为了反汇编引擎这样大动干戈的，对于应用程序的虚拟不是简单的虚拟一个CPU就完事了，还要虚拟操作系统的许多结构，如果直接用操作系统本身的，那叫调试器。一般反汇编器都是基于线扫描或递归扫描，来流过代码所有分支，而虚拟机通过动态模拟是可能无法流过程序的所有分支，所以有基于反汇编的代码模拟虚拟机，反过来好像不行。 2010-12-24 15:27 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 4 楼求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎 2010-12-24 23:45 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 5 楼求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎 2010-12-26 16:20 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 6 楼求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎 2010-12-27 00:24 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 7 楼估计你是想找通用脱壳机，在网上搜这个关键词吧。顺便说一句，那东西要是真能“通用”，看雪早就解散了 2010-12-27 12:46 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 8 楼是基于虚拟机的脱壳机，我只是想研究如何实现的 2010-12-27 17:22 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 9 楼我没研究过这个问题，但是我见到过两种虚拟机脱壳思路：第一种，由于很多种类的壳都可以用“堆栈平衡、popad、.code两次内存断点”等这样类似通用脱壳法，使用虚拟机就可以自动模拟这些通用脱壳法，其实基于调试器的方法也可以实现，而且更简单，但是像杀毒软件这样需要封闭测试环境的还是倾向于使用虚拟机。第二种，通过虚拟机对比程序流图的特征来判断是程序加了那种壳，然后调用对应的专用脱壳模块来脱壳，许多基于虚拟机的杀软就是使用这种方法，原因是纯虚拟机脱壳，不但通用性不好，而且对大循环的执行速度较慢 2010-12-27 19:01 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 10 楼是基于虚拟机的脱壳机 2011-1-3 23:25 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 11 楼是基于虚拟机的脱壳机 2011-1-7 03:51 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼 linxer写过，详情可以问他，我猜测原理是这样的： 1. 模拟windows加载器加载PE文件的过程加载目标程序。 2. 实现一个基于x86指令集的虚拟机，解释执行目标程序从程序入口开始的代码 3. 遇到特定的条件(比如当前执行的代码类似vc/delphi/asm编译的程序的入口代码或者当前eip处于第一区段)停止执行虚拟机并DUMP 2011-1-7 20:47 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 13 楼 linxer好牛啊 2011-1-7 20:55 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 14 楼基于虚拟机的脱壳机 2011-1-12 05:04 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 15 楼基于虚拟机的脱壳机 2011-1-12 18:00 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 16 楼于虚拟机的脱壳机 2011-1-12 22:51 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 17 楼基于虚拟机的脱壳机 2011-1-13 18:15 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 18 楼你对壳根本不了解。 2011-1-14 10:48 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 19 楼我來個基於虛擬機的回貼 2011-1-14 12:35 0
奘和雪币： 4902 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 20 楼我是来看LZ刷楼的 2011-1-14 12:38 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 21 楼我只是想学习一下，没办法只好刷楼了 2011-1-14 20:51 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 22 楼是的，我只是学习一下，好像LINXER并不是真正虚拟机的，只是模拟了CPU和楼上讲的那样有的话能否提供一个 2011-1-14 21:03 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 23 楼模拟windows加载器加载PE文件的过程加载目标程 2011-1-15 03:32 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 24 楼模拟windows加载器加载PE文件的过程加载目标程 2011-1-15 15:49 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 25 楼對LZ的網速表示同情 2011-1-18 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复