[讨论]面对各种各样的VM.有没通用方法解决?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]面对各种各样的VM.有没通用方法解决?

发表于: 2007-5-23 07:22 13614

[讨论]面对各种各样的VM.有没通用方法解决?

steak

2007-5-23 07:22

13614

小弟最近分析数个软件都是带了VM.还比较恐怖,自问没有那些大侠功力去分析VM
但现在越来越流行VM.现在破解越来越吃力了.
小弟对VM理解不太深.我觉得他最终都要还原成机器码交给CPU执行的.
有没可能编写一种彷真CPU加载指定的VM代码.让他记录最终让CPU执行的指令呢? 对各种各样的VM.不可能个个都分析击破吧.行业需要一种通用型的解析器.让VM代码变成汇编.让分析成为可能.
大家说说这种东西可能实现吗?

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・3

免费・0

支持

最新回复 (30) 1 2 ▶
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼买正版就可以了 2007-5-23 08:43 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 3 楼 shoooo这两天天天都是这七字贤言 2007-5-23 09:01 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 4 楼有时间还不如去研究股票呢 2007-5-23 09:14 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼最近股票如日中天 2007-5-23 09:20 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 6 楼 kanxue不如开个贴子专门讨论股票吧 2007-5-23 09:20 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 7 楼我还没入市. 看雪有没股市专修群? 2007-5-23 09:55 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 8 楼各位老大.现在别进股市了在临界点附近了.到5000点可是随时爆的炸弹还是来研究VM吧 2007-5-23 10:05 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼到5000还是有很大空间的现在才41xx 2007-5-23 10:17 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 10 楼我觉得引信在45XX就会调整了 2007-5-23 11:25 0
kryso 雪币： 12 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 198 粉丝 0 关注私信	kryso 11 楼有通用方法的话那做VM干什么 "最终都要还原成机器码交给CPU执行的" 只是你一厢情愿的理解而已. 2007-5-23 11:48 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 12 楼那交给CPU执行的机器码都可以与原来的汇编码不相同的吗? 2007-5-23 16:34 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 13 楼炒股=抢钱,总会有人被抢的,现在那些大机构都进了NX亿了,他们现在需要把去年1块进的按20卖了,不把市场烘托的繁荣一些能吸引足够多的大头吗?脱离价值的东西是不能持久的,差不多就得了,把最高点让给别人,同时也把风险让给别人. 2007-5-23 16:56 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 14 楼在网上看小道消息说今年年初的沪市暴跌就是老美炒股的大公司撤走了250亿美元 2007-5-23 17:28 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 15 楼不是说外资不让进入股票市场吗？ 2007-5-23 22:10 0
我是雷锋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	我是雷锋 16 楼大家一起讨论我3500入市的 2007-5-23 22:26 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 17 楼我们这里普遍看多到10w 2007-5-23 22:38 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 18 楼 cyc啊,我想你了 2007-5-24 00:50 0
kryso 雪币： 12 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 198 粉丝 0 关注私信	kryso 19 楼当然可以. 就好比原来的 CPU 代码是 a:= a +1 + 2; 这样 VM后变成 inc eax add eax, 2 还原的话也只会变成 a:= a + 1; a:= a + 2; 那自然就跟原来的不一样了。 2007-5-24 01:25 0
笑熬浆糊雪币： 389 活跃值： (967) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 20 楼股股股股股股股股股股钱钱钱钱钱钱钱钱钱钱 2007-5-24 02:12 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 21 楼这只是代码变形。虚拟机比这个复杂的多。 2007-5-24 02:18 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 22 楼理论上来说，对付某一个VM还是可以的。比如：先自已写一个程序A 里面可以这样写 mov eax,XXX mov ebx,XXX mov ecx,XXX mov eax,123456 mov ebx,123456 ... push XXX call eax call ebx ... 基本上把汇编语句都覆盖一遍再VM一下多重复几次对应的就是它的VM代码把对应的VM代码记录下来，组成一个数据文件（当然不是一定一句汇编代码对应几句VM代码，但肯定有规律）跟踪别的程序时就可以用数据文件匹配了（可以用模式匹配什么的一些牛X算法）再还原匹配得不好的话就不能运行，但应当能看懂了。 2007-5-24 09:04 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 23 楼 if( 理论 != 实践 ) { return 0; } 2007-5-24 09:08 0
whg3249 雪币： 210 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 142 粉丝 0 关注私信	whg3249 24 楼还是开个股票版块吧 2007-5-24 09:10 0
AZMC 雪币： 305 活跃值： (36) 能力值： ( LV12，RANK：250 ) 在线值：发帖 12 回帖 129 粉丝 0 关注私信	AZMC 6 25 楼这个想法不现实。 2007-5-24 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

steak

发帖

113

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼买正版就可以了 2007-5-23 08:43 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 3 楼 shoooo这两天天天都是这七字贤言 2007-5-23 09:01 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 4 楼有时间还不如去研究股票呢 2007-5-23 09:14 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼最近股票如日中天 2007-5-23 09:20 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 6 楼 kanxue不如开个贴子专门讨论股票吧 2007-5-23 09:20 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 7 楼我还没入市. 看雪有没股市专修群? 2007-5-23 09:55 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 8 楼各位老大.现在别进股市了在临界点附近了.到5000点可是随时爆的炸弹还是来研究VM吧 2007-5-23 10:05 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼到5000还是有很大空间的现在才41xx 2007-5-23 10:17 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 10 楼我觉得引信在45XX就会调整了 2007-5-23 11:25 0
kryso 雪币： 12 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 198 粉丝 0 关注私信	kryso 11 楼有通用方法的话那做VM干什么 "最终都要还原成机器码交给CPU执行的" 只是你一厢情愿的理解而已. 2007-5-23 11:48 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 12 楼那交给CPU执行的机器码都可以与原来的汇编码不相同的吗? 2007-5-23 16:34 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 13 楼炒股=抢钱,总会有人被抢的,现在那些大机构都进了NX亿了,他们现在需要把去年1块进的按20卖了,不把市场烘托的繁荣一些能吸引足够多的大头吗?脱离价值的东西是不能持久的,差不多就得了,把最高点让给别人,同时也把风险让给别人. 2007-5-23 16:56 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 14 楼在网上看小道消息说今年年初的沪市暴跌就是老美炒股的大公司撤走了250亿美元 2007-5-23 17:28 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 15 楼不是说外资不让进入股票市场吗？ 2007-5-23 22:10 0
我是雷锋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	我是雷锋 16 楼大家一起讨论我3500入市的 2007-5-23 22:26 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 17 楼我们这里普遍看多到10w 2007-5-23 22:38 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 18 楼 cyc啊,我想你了 2007-5-24 00:50 0
kryso 雪币： 12 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 198 粉丝 0 关注私信	kryso 19 楼当然可以. 就好比原来的 CPU 代码是 a:= a +1 + 2; 这样 VM后变成 inc eax add eax, 2 还原的话也只会变成 a:= a + 1; a:= a + 2; 那自然就跟原来的不一样了。 2007-5-24 01:25 0
笑熬浆糊雪币： 389 活跃值： (967) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 20 楼股股股股股股股股股股钱钱钱钱钱钱钱钱钱钱 2007-5-24 02:12 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 21 楼这只是代码变形。虚拟机比这个复杂的多。 2007-5-24 02:18 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 22 楼理论上来说，对付某一个VM还是可以的。比如：先自已写一个程序A 里面可以这样写 mov eax,XXX mov ebx,XXX mov ecx,XXX mov eax,123456 mov ebx,123456 ... push XXX call eax call ebx ... 基本上把汇编语句都覆盖一遍再VM一下多重复几次对应的就是它的VM代码把对应的VM代码记录下来，组成一个数据文件（当然不是一定一句汇编代码对应几句VM代码，但肯定有规律）跟踪别的程序时就可以用数据文件匹配了（可以用模式匹配什么的一些牛X算法）再还原匹配得不好的话就不能运行，但应当能看懂了。 2007-5-24 09:04 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 23 楼 if( 理论 != 实践 ) { return 0; } 2007-5-24 09:08 0
whg3249 雪币： 210 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 142 粉丝 0 关注私信	whg3249 24 楼还是开个股票版块吧 2007-5-24 09:10 0
AZMC 雪币： 305 活跃值： (36) 能力值： ( LV12，RANK：250 ) 在线值：发帖 12 回帖 129 粉丝 0 关注私信	AZMC 6 25 楼这个想法不现实。 2007-5-24 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复