[求助]请问怎么区分VM、乱序、加花、以及变异呢？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 2 楼 VM一开始要保存各个寄存器的值 2015-6-18 19:45 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 3 楼 VM的本质是以解释引擎来模拟执行指令，所以一定有取指令，执行指令的循环过程 2015-6-18 22:56 0
cshcmq 雪币： 427 活跃值： (488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 4 楼哈哈哈，艾滋、梅毒、淋病、各种炎，大家慢慢搞，钱途大大的~ 2015-6-19 07:36 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 5 楼这些我清楚，我想知道怎么样肉眼来区分一段代码是否是VM或是变异呢？被VM过后的代码，大概有哪些指令特征上的体现。与变异后的代码表面的特征有何不同呢？ 2015-6-19 09:21 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 6 楼解释引擎本身就可能使用变形代码，难以简单地一望即知。但还是有规律，被模拟的伪码被作为数据使用，引擎往往通过一个指针反复访问起所在的buffer,并对数据进行解码执行。另外在进入和退出vm前有保存恢复上下文的动作。一般实际跟一段代码就能看出来了。或者写程序清理变形代码，如果能一定程度得到未变形的代码，vm的特征会十分明显。 2015-6-19 12:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 2 楼 VM一开始要保存各个寄存器的值 2015-6-18 19:45 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 3 楼 VM的本质是以解释引擎来模拟执行指令，所以一定有取指令，执行指令的循环过程 2015-6-18 22:56 0
cshcmq 雪币： 427 活跃值： (488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 4 楼哈哈哈，艾滋、梅毒、淋病、各种炎，大家慢慢搞，钱途大大的~ 2015-6-19 07:36 0
Dormi 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 43 粉丝 0 关注私信	Dormi 5 楼这些我清楚，我想知道怎么样肉眼来区分一段代码是否是VM或是变异呢？被VM过后的代码，大概有哪些指令特征上的体现。与变异后的代码表面的特征有何不同呢？ 2015-6-19 09:21 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 6 楼解释引擎本身就可能使用变形代码，难以简单地一望即知。但还是有规律，被模拟的伪码被作为数据使用，引擎往往通过一个指针反复访问起所在的buffer,并对数据进行解码执行。另外在进入和退出vm前有保存恢复上下文的动作。一般实际跟一段代码就能看出来了。或者写程序清理变形代码，如果能一定程度得到未变形的代码，vm的特征会十分明显。 2015-6-19 12:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复