[原创]CTF 逆向：基础 VM 的三大解法剖析

发表于: 2025-3-3 20:54 4367

[原创]CTF 逆向：基础 VM 的三大解法剖析

namename123 活跃值

2025-3-3 20:54

4367

前几天,一位学弟发了道很基础的vm题目给我,我自己想用多种思路来解,中间碰壁多次,于是想着写一篇博客分享下碰壁过程以及关于vm题型我自己的一些解法

一、VM 核心原理速览

vm题型简介

程序大多会有自己一套循环的执行程序流
大致长相为

while(i<len(opcode)):

    if(opcode[i]==0x00):

        i+=1

    elif(opcode[i]==0x01):

        i+=2

    elif(opcode[i]==0x02):

        i+=3

其中opcode一般情况是由操作数和操作组成的一大串数据(通常由成百上千个byte组成)
说白了就是其中的加密过程很多,我们需要模拟执行流

破局思路

关键定位：虚拟指令分发器（opcode）
加密逻辑:找到他的循环加密
模拟重建：模拟执行流进行爆破或者解密

二、三种解法

解法一：传统手撕

将整个执行流程保存下来,倒着用enc去回到flag

解法二：正向Z3

模拟加密过程,使用Z3约束求解来得到flag

解法三：通过gbd或者frida插桩爆破

因为单字节或者双字节的缘故,所有可能也不过那么几样,我们通过一些手段可以实现爆破程序得到flag

高难度vm

2024年强网杯就有一道vm,对我来说很难
找不到opcode和中间的执行流
这种题我目前的想法也只会无脑的爆破程序,不出也不会了,硬看经常大脑卡死
(大佬轻松手撕)

三、解题

前言

解题前放两位大佬关于vm的博客,我也是跟着学的~
upsw1ng佬关于vm的博客
 swdd佬关于利用frida去插桩爆破的博客

前面两种方法

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2025-3-3 22:41 被namename123编辑，原因：有个没有加载出来的图片

#Reverse

上传的附件：

vm.exe （32.00kb，8次下载）

收藏・22

免费・5

支持

最新回复 (7)
TkBinary 雪币： 142 活跃值： (10282) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 427 粉丝 217 关注私信	TkBinary 5 2 楼 shift+8 还纳闷啥快快捷键.一看尼玛不就是数组 *号键 2025-3-4 17:44 0
逆向小玖雪币： 204 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	逆向小玖 3 楼 TkBinary shift+8 还纳闷啥快快捷键.一看尼玛不就是数组 *号键[em_056] 笑死，我看了半天也在下这啥快捷键。。。 2025-3-5 09:32 0
TkBinary 雪币： 142 活跃值： (10282) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 427 粉丝 217 关注私信	TkBinary 5 4 楼逆向小玖笑死，我看了半天也在下这啥快捷键。。。 2025-3-5 09:39 0
namename123 雪币： 239 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	namename123 5 楼 TkBinary shift+8 还纳闷啥快快捷键.一看尼玛不就是数组 *号键[em_056] 我是菜狗~只知道这样按可以 2025-3-5 12:34 0
Qfrost 雪币： 807 活跃值： (1059) 能力值： ( LV5，RANK：73 ) 在线值：发帖 6 回帖 12 粉丝 15 关注私信	Qfrost 6 楼感谢楼主分享，这里也补充一种方法大部分的VM题目的opcode均模拟汇编指令，或者可以用一条或几条x86指令等价表示。所以可以识别出每一条opcode对应的x86指令，将其转化为对应的x86汇编，用编译出bin文件，最后IDA反编译bin文件得到伪代码。在一些复杂算法的VM上这种方法的还原效果会比较好如2021年L3HCTF的double-joy: L3HCTF double-joy引出的解VM类题型新思路最后于 4天前被Qfrost编辑，原因： 4天前 1
namename123 雪币： 239 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	namename123 7 楼 Qfrost 感谢楼主分享，这里也补充一种方法大部分的VM题目的opcode均模拟汇编指令，或者可以用一条或几条x86指令等价表示。所以可以识别出每一条opcode对应的x86指令，将其转化为对应的x86汇编，用编 ... 佬！ 3天前 0
禁惹尘埃雪币： 105 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	禁惹尘埃 8 楼 Qfrost 感谢楼主分享，这里也补充一种方法大部分的VM题目的opcode均模拟汇编指令，或者可以用一条或几条x86指令等价表示。所以可以识别出每一条opcode对应的x86指令，将其转化为对应的x86汇编，用编 ... 膜拜！！！感谢分享 2小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

namename123

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
TkBinary 雪币： 142 活跃值： (10282) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 427 粉丝 217 关注私信	TkBinary 5 2 楼 shift+8 还纳闷啥快快捷键.一看尼玛不就是数组 *号键 2025-3-4 17:44 0
逆向小玖雪币： 204 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	逆向小玖 3 楼 TkBinary shift+8 还纳闷啥快快捷键.一看尼玛不就是数组 *号键[em_056] 笑死，我看了半天也在下这啥快捷键。。。 2025-3-5 09:32 0
TkBinary 雪币： 142 活跃值： (10282) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 427 粉丝 217 关注私信	TkBinary 5 4 楼逆向小玖笑死，我看了半天也在下这啥快捷键。。。 2025-3-5 09:39 0
namename123 雪币： 239 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	namename123 5 楼 TkBinary shift+8 还纳闷啥快快捷键.一看尼玛不就是数组 *号键[em_056] 我是菜狗~只知道这样按可以 2025-3-5 12:34 0
Qfrost 雪币： 807 活跃值： (1059) 能力值： ( LV5，RANK：73 ) 在线值：发帖 6 回帖 12 粉丝 15 关注私信	Qfrost 6 楼感谢楼主分享，这里也补充一种方法大部分的VM题目的opcode均模拟汇编指令，或者可以用一条或几条x86指令等价表示。所以可以识别出每一条opcode对应的x86指令，将其转化为对应的x86汇编，用编译出bin文件，最后IDA反编译bin文件得到伪代码。在一些复杂算法的VM上这种方法的还原效果会比较好如2021年L3HCTF的double-joy: L3HCTF double-joy引出的解VM类题型新思路最后于 4天前被Qfrost编辑，原因： 4天前 1
namename123 雪币： 239 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	namename123 7 楼 Qfrost 感谢楼主分享，这里也补充一种方法大部分的VM题目的opcode均模拟汇编指令，或者可以用一条或几条x86指令等价表示。所以可以识别出每一条opcode对应的x86指令，将其转化为对应的x86汇编，用编 ... 佬！ 3天前 0
禁惹尘埃雪币： 105 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	禁惹尘埃 8 楼 Qfrost 感谢楼主分享，这里也补充一种方法大部分的VM题目的opcode均模拟汇编指令，或者可以用一条或几条x86指令等价表示。所以可以识别出每一条opcode对应的x86指令，将其转化为对应的x86汇编，用编 ... 膜拜！！！感谢分享 2小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复