[原创]Code Virtualizer的一点分析和还原-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (38) ◀ 1 2
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 26 楼不得不顶的好贴，学习 2008-4-4 23:05 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 27 楼楼上几位的批评是不对的,我的确没看过CV加出来的东西。不过看Ryosuke的文章,有点象Tmd\|WL选CISC类型时的VM。IDB里变形代码相对较少,也没有假的jcc分枝,也许Ryosuke 保护的时候选的强度不高? 顺便问一句,Ryosuke怎么搞的变形代码? 我本想再玩一下,不过最近工作比较忙,要放一放了。 2008-4-5 10:21 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 28 楼楼上欲盖弥彰啊 2008-4-5 10:39 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 29 楼虚伪门事件。不过我觉得cv>vmp 2008-4-5 10:41 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 30 楼不能不顶啊 2008-4-5 10:58 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 31 楼 CV本身卖的就是纯粹的VM，自然要考虑效率，自然不会动用THEMIDA速度最慢的VM构架。 2008-4-5 11:08 0
qslljm 雪币： 444 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 58 粉丝 0 关注私信	qslljm 32 楼收藏学习，谢谢分享 2008-4-5 11:16 0
lovelyfrog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 173 粉丝 0 关注私信	lovelyfrog 33 楼学习啊 2008-4-5 12:07 0
Ryosuke 雪币： 370 活跃值： (78) 能力值： ( LV9，RANK：970 ) 在线值：发帖 26 回帖 195 粉丝 3 关注私信	Ryosuke 24 34 楼对，我选择的是中等加密强度，目的是不想产生太多的垃圾变形代码PCode，这个例子只是一个演示如何分析CV的VM，只是一个例子。不管用哪种强度，它的dispatch_code好像都没有怎么变化，除了dispatch_no被重新排序以外，但是VM_Data里面生成的垃圾代码变多了很多。 CV的代码变形和TMD的代码变形一样，就那几种，我想SM兄应该很清楚的，无非就是静态分析，和动态调试。 2008-4-5 17:25 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 35 楼我想试试用程序实现变形代码清理,得到大致干净的VM解释引擎,再根据handler的特征及PCODE与机器码的对应关系,做个半自动的工具来还原代码。PCODE到机器码的转换我以前都是直接读的,完全没有实战价值。不过我对直接得到正确的机器码几乎不抱信心,不出错的可能性太小了,能以助记符的形式做出来就不错。感觉难度太大,花了不少时间代码清理还没过,放下有1个月了。 2008-4-5 19:48 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 36 楼很谢谢Ryosuke， softworm 两位VIP，学习了 2008-4-5 23:08 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 37 楼顶起＋留名。 2008-4-6 13:29 0
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 38 楼都是高手，我也沾一点光 2008-5-9 15:54 0
牛A 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	牛A 39 楼专门来拜偶像.... 2008-5-9 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (38) ◀ 1 2
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 26 楼不得不顶的好贴，学习 2008-4-4 23:05 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 27 楼楼上几位的批评是不对的,我的确没看过CV加出来的东西。不过看Ryosuke的文章,有点象Tmd\|WL选CISC类型时的VM。IDB里变形代码相对较少,也没有假的jcc分枝,也许Ryosuke 保护的时候选的强度不高? 顺便问一句,Ryosuke怎么搞的变形代码? 我本想再玩一下,不过最近工作比较忙,要放一放了。 2008-4-5 10:21 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 28 楼楼上欲盖弥彰啊 2008-4-5 10:39 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 29 楼虚伪门事件。不过我觉得cv>vmp 2008-4-5 10:41 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 30 楼不能不顶啊 2008-4-5 10:58 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 31 楼 CV本身卖的就是纯粹的VM，自然要考虑效率，自然不会动用THEMIDA速度最慢的VM构架。 2008-4-5 11:08 0
qslljm 雪币： 444 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 58 粉丝 0 关注私信	qslljm 32 楼收藏学习，谢谢分享 2008-4-5 11:16 0
lovelyfrog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 173 粉丝 0 关注私信	lovelyfrog 33 楼学习啊 2008-4-5 12:07 0
Ryosuke 雪币： 370 活跃值： (78) 能力值： ( LV9，RANK：970 ) 在线值：发帖 26 回帖 195 粉丝 3 关注私信	Ryosuke 24 34 楼对，我选择的是中等加密强度，目的是不想产生太多的垃圾变形代码PCode，这个例子只是一个演示如何分析CV的VM，只是一个例子。不管用哪种强度，它的dispatch_code好像都没有怎么变化，除了dispatch_no被重新排序以外，但是VM_Data里面生成的垃圾代码变多了很多。 CV的代码变形和TMD的代码变形一样，就那几种，我想SM兄应该很清楚的，无非就是静态分析，和动态调试。 2008-4-5 17:25 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 35 楼我想试试用程序实现变形代码清理,得到大致干净的VM解释引擎,再根据handler的特征及PCODE与机器码的对应关系,做个半自动的工具来还原代码。PCODE到机器码的转换我以前都是直接读的,完全没有实战价值。不过我对直接得到正确的机器码几乎不抱信心,不出错的可能性太小了,能以助记符的形式做出来就不错。感觉难度太大,花了不少时间代码清理还没过,放下有1个月了。 2008-4-5 19:48 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 36 楼很谢谢Ryosuke， softworm 两位VIP，学习了 2008-4-5 23:08 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 37 楼顶起＋留名。 2008-4-6 13:29 0
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 38 楼都是高手，我也沾一点光 2008-5-9 15:54 0
牛A 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	牛A 39 楼专门来拜偶像.... 2008-5-9 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复