能力值:
( LV4,RANK:40 )
|
-
-
2 楼
基于虚拟机的反汇编引擎是什么
|
能力值:
( LV9,RANK:230 )
|
-
-
3 楼
“基于虚拟机的反汇编引擎”这个好像有点本末倒置,也有可能我学识浅薄,反正我没见过为了反汇编引擎这样大动干戈的,对于应用程序的虚拟不是简单的虚拟一个CPU就完事了,还要虚拟操作系统的许多结构,如果直接用操作系统本身的,那叫调试器。一般反汇编器都是基于线扫描或递归扫描,来流过代码所有分支,而虚拟机通过动态模拟是可能无法流过程序的所有分支,所以有基于反汇编的代码模拟虚拟机,反过来好像不行。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
求个开源的虚拟机脱壳机,和基于虚拟机的反汇编引擎
|
能力值:
( LV9,RANK:230 )
|
-
-
7 楼
估计你是想找通用脱壳机,在网上搜这个关键词吧。
顺便说一句,那东西要是真能“通用”,看雪早就解散了
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
是基于虚拟机的脱壳机,我只是想研究如何实现的
|
能力值:
( LV9,RANK:230 )
|
-
-
9 楼
我没研究过这个问题,但是我见到过两种虚拟机脱壳思路:
第一种,由于很多种类的壳都可以用“堆栈平衡、popad、.code两次内存断点”等这样类似通用脱壳法,使用虚拟机就可以自动模拟这些通用脱壳法,其实基于调试器的方法也可以实现,而且更简单,但是像杀毒软件这样需要封闭测试环境的还是倾向于使用虚拟机。
第二种,通过虚拟机对比程序流图的特征来判断是程序加了那种壳,然后调用对应的专用脱壳模块来脱壳,许多基于虚拟机的杀软就是使用这种方法,原因是纯虚拟机脱壳,不但通用性不好,而且对大循环的执行速度较慢
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
是基于虚拟机的脱壳机
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
是基于虚拟机的脱壳机
|
能力值:
( LV9,RANK:170 )
|
-
-
12 楼
linxer写过, 详情可以问他,
我猜测原理是这样的:
1. 模拟windows加载器加载PE文件的过程加载目标程序。
2. 实现一个基于x86指令集的虚拟机,解释执行目标程序从程序入口开始的代码
3. 遇到特定的条件(比如当前执行的代码类似vc/delphi/asm编译的程序的入口代码或者当前eip处于第一区段)停止执行虚拟机并DUMP
|
能力值:
( LV8,RANK:120 )
|
-
-
13 楼
linxer好牛啊
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
基于虚拟机的脱壳机
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
基于虚拟机的脱壳机
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
于虚拟机的脱壳机
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
基于虚拟机的脱壳机
|
能力值:
( LV3,RANK:30 )
|
-
-
18 楼
你对壳根本不了解。
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
我來個基於虛擬機的回貼
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
我是来看LZ刷楼的
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
我只是想学习一下,没办法只好刷楼了
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
是的,我只是学习一下,好像LINXER并不是真正虚拟机的,只是模拟了CPU和楼上讲的那样
有的话能否提供一个
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
模拟windows加载器加载PE文件的过程加载目标程
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
模拟windows加载器加载PE文件的过程加载目标程
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
對LZ的網速表示同情
|
|
|