关于还原，我认为难点是工作量大，需要自动化提升效率

还原和混淆是一对反义词，相同点是保证代码功能相近，不同是一个是使代码更易读，后者则相反

而代码优化非常类似，也要保证代码功能相近，不同是减少代码的体积或运行速度

所以我感觉还原和代码优化有很多共通点

然后尝试了一下从编译的角度去做自动化还原，这里分享一下思路，算是画一个不太完美的句号吧

我的还原流程简单来说就三步：

第三步可以针对性的实现一些优化，因为vmp是一个基于栈的虚拟机，编译器的优化效果有限

第一步是我做的比较多的一部分，在后面的实现过程会说具体思路

这一步说的是怎么判断Handler对应的虚拟机指令

Handler识别首先绕不开一个问题，怎么找到Handler在哪

关于VMP 3.X的架构这里简单说一下

在VMP2中会有一个分发器，所有Handler的地址都存在一个数组中，很容易就能把所有Handler找出来；但到了3，分发方式变成从字节码中解码出下一条指令的地址

目前分析到两种跳转方式：

或

我的思路是模拟执行，遇到jmp reg或者push ; ret时就代表一条Handler已经结束，reg中的是下一条Handler的地址

所以可以构建一个Handler 虚拟地址到虚拟指令的映射

模拟执行还有一个好处，对于不同的虚拟指令，在Handler中下断，让Handler自己解密字节码中的内容，然后提取出来

关于Handler的语义是什么就省略了

根据jmp reg或push ; ret把Handler提取出来后，现在就需要识别其对应的虚拟机指令

两种思路：

这是我目前正在用的方案，对汇编代码使用正则表达式匹配

矛盾点是正则规则越严格，漏判越严重，规则越宽松，误判越严重

缓解方案是对汇编代码先进行一次优化，参考编译原理中的死代码消除，对寄存器的使用进行分析

以一个加法的Handler为例：

比如优化前的Handler：

其中4、5、10、11行连续对rdi寄存器进行了写入，显然前三条写入是无效的

优化后的Handler：

正则匹配：

这部分只是做一个尝试

同样是加法的例子，这是其DAG图（不太严格，因为x86复杂指令集有点麻烦）

蓝色下划线是从栈获取的操作数

绿色下划线是将结果和RFLAGS放回栈

模拟执行顺序执行的片段：

先分析每条虚拟机指令对栈的读写，然后构建DU链

接着利用DU链进行一次简单的优化，包括常量传播，折叠一些变量在VM栈和VM寄存器上的移动，还有简单的MBA表达式优化（简化接下来的判断分支等步骤）

进行到这里就可以判断是jmp还是jcc

jmp的例子（左边是每条指令起始时VM字节码指针和VM栈指针）：

jcc的例子：

区别就是RET之前的一条语句PUSH的是否为一个立即数（依赖前面的常量传播优化）

接下来就可以通过DU链，获取分支的两条去向分别是什么

依据是VMP的分支跳转伪代码为：

这里是识别的例子：

这里我大致分成了两步：

一个比较标准的test x-y，然后判断CF的例子

绿色框是上一步的跳转地址计算

黄色框是rflags标志位的判断

红色框是计算x-y的rflags

一个and x, x，判断是否为0的例子

绿框是上一步的跳转地址计算

黄框是判断其ZF位

红框是读取内存，然后获取其and x, x的rflags，没识别到

在前面Handler语义识别的时候，难免会有错漏，出现识别不了的语句

在模拟执行还原控制流时，妥协做法是停止该分支的分析

这里截取了一段控制流

每个圈圈是一个虚拟指令基本块

这里绿色箭头的是前面flag=1分支、红色箭头是前面flag=0的分支

红色圈圈的是遇到未知虚拟指令或模拟执行错误，停止分析的块

这一步随便水水了，只做了一部分，主要工作量太大了

将虚拟指令输出成对应的C语言代码，然后上编译器编译

给个加法的例子吧：

比较喜欢写代码吧，vmp代码还原的自动化又是个需要写很多代码的工程，就比较感兴趣，断断续续大学花了不少时间在这上面

最大的收获是经验吧，写的时候花了很多时间在debug上，实际写的时间根本没多少

我也明白，先设计好再写代码可以减少很多写代码和debug的时间，但缺乏还原经验，设计的时候无从入手，也考虑不周全，只能边写边想

算是积累了一些经验吧

然后实践了一下编译原理的入门知识，一个非常有意思的领域，希望以后有机会继续深入学习下去吧

在还原的过程中，我发现对虚拟机架构的分析越多，获得更多关于壳的信息，就能写出更容易实现、更有针对性、更有效果的优化

有点类似窥孔优化的思路，牺牲通用性，以便实现和提高效果

VMP架构与虚拟机指令：

VMProtect 2 - Detailed Analysis of the Virtual Machine Architecture // Back Engineering

虚拟机分支分析：

[分享]VMP学习笔记之万用门（七）-加壳脱壳-看雪论坛-安全社区|安全招聘|bbs.pediy.com (kanxue.com)

vmp3.5模拟x86分支指令je、jne、jge和jl的分析-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com (kanxue.com)

编译原理（哪本书不记得了）：

加密与解密

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！