[原创]Code Virtualizer的一点分析和还原-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (38) ◀ 1 2
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 39 回帖 754 粉丝 54 关注私信	combojiang 26 2008-4-4 23:05 26 楼 0 不得不顶的好贴，学习
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2008-4-5 10:21 27 楼 0 楼上几位的批评是不对的,我的确没看过CV加出来的东西。不过看Ryosuke的文章,有点象Tmd\|WL选CISC类型时的VM。IDB里变形代码相对较少,也没有假的jcc分枝,也许Ryosuke 保护的时候选的强度不高? 顺便问一句,Ryosuke怎么搞的变形代码? 我本想再玩一下,不过最近工作比较忙,要放一放了。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-4-5 10:39 28 楼 0 楼上欲盖弥彰啊
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-4-5 10:41 29 楼 0 虚伪门事件。不过我觉得cv>vmp
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2008-4-5 10:58 30 楼 0 不能不顶啊
鸡蛋壳雪币： 425 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2008-4-5 11:08 31 楼 0 CV本身卖的就是纯粹的VM，自然要考虑效率，自然不会动用THEMIDA速度最慢的VM构架。
qslljm 雪币： 444 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 58 粉丝 0 关注私信	qslljm 2008-4-5 11:16 32 楼 0 收藏学习，谢谢分享
lovelyfrog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 166 粉丝 0 关注私信	lovelyfrog 2008-4-5 12:07 33 楼 0 学习啊
Ryosuke 雪币： 370 活跃值： (78) 能力值： ( LV9，RANK：970 ) 在线值：发帖 26 回帖 196 粉丝 2 关注私信	Ryosuke 24 2008-4-5 17:25 34 楼 0 对，我选择的是中等加密强度，目的是不想产生太多的垃圾变形代码PCode，这个例子只是一个演示如何分析CV的VM，只是一个例子。不管用哪种强度，它的dispatch_code好像都没有怎么变化，除了dispatch_no被重新排序以外，但是VM_Data里面生成的垃圾代码变多了很多。 CV的代码变形和TMD的代码变形一样，就那几种，我想SM兄应该很清楚的，无非就是静态分析，和动态调试。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2008-4-5 19:48 35 楼 0 我想试试用程序实现变形代码清理,得到大致干净的VM解释引擎,再根据handler的特征及PCODE与机器码的对应关系,做个半自动的工具来还原代码。PCODE到机器码的转换我以前都是直接读的,完全没有实战价值。不过我对直接得到正确的机器码几乎不抱信心,不出错的可能性太小了,能以助记符的形式做出来就不错。感觉难度太大,花了不少时间代码清理还没过,放下有1个月了。
linhanshi 雪币： 85220 活跃值： (198520) 能力值： (RANK：10 ) 在线值：发帖 8985 回帖 25608 粉丝 421 关注私信	linhanshi 2008-4-5 23:08 36 楼 0 很谢谢Ryosuke， softworm 两位VIP，学习了
daxia200N 雪币： 662 活跃值： (1642) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 574 粉丝 5 关注私信	daxia200N 6 2008-4-6 13:29 37 楼 0 顶起＋留名。
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 2008-5-9 15:54 38 楼 0 都是高手，我也沾一点光
牛A 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	牛A 2008-5-9 18:16 39 楼 0 专门来拜偶像....
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (38) ◀ 1 2
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 39 回帖 754 粉丝 54 关注私信	combojiang 26 2008-4-4 23:05 26 楼 0 不得不顶的好贴，学习
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2008-4-5 10:21 27 楼 0 楼上几位的批评是不对的,我的确没看过CV加出来的东西。不过看Ryosuke的文章,有点象Tmd\|WL选CISC类型时的VM。IDB里变形代码相对较少,也没有假的jcc分枝,也许Ryosuke 保护的时候选的强度不高? 顺便问一句,Ryosuke怎么搞的变形代码? 我本想再玩一下,不过最近工作比较忙,要放一放了。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-4-5 10:39 28 楼 0 楼上欲盖弥彰啊
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-4-5 10:41 29 楼 0 虚伪门事件。不过我觉得cv>vmp
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2008-4-5 10:58 30 楼 0 不能不顶啊
鸡蛋壳雪币： 425 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2008-4-5 11:08 31 楼 0 CV本身卖的就是纯粹的VM，自然要考虑效率，自然不会动用THEMIDA速度最慢的VM构架。
qslljm 雪币： 444 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 58 粉丝 0 关注私信	qslljm 2008-4-5 11:16 32 楼 0 收藏学习，谢谢分享
lovelyfrog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 166 粉丝 0 关注私信	lovelyfrog 2008-4-5 12:07 33 楼 0 学习啊
Ryosuke 雪币： 370 活跃值： (78) 能力值： ( LV9，RANK：970 ) 在线值：发帖 26 回帖 196 粉丝 2 关注私信	Ryosuke 24 2008-4-5 17:25 34 楼 0 对，我选择的是中等加密强度，目的是不想产生太多的垃圾变形代码PCode，这个例子只是一个演示如何分析CV的VM，只是一个例子。不管用哪种强度，它的dispatch_code好像都没有怎么变化，除了dispatch_no被重新排序以外，但是VM_Data里面生成的垃圾代码变多了很多。 CV的代码变形和TMD的代码变形一样，就那几种，我想SM兄应该很清楚的，无非就是静态分析，和动态调试。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2008-4-5 19:48 35 楼 0 我想试试用程序实现变形代码清理,得到大致干净的VM解释引擎,再根据handler的特征及PCODE与机器码的对应关系,做个半自动的工具来还原代码。PCODE到机器码的转换我以前都是直接读的,完全没有实战价值。不过我对直接得到正确的机器码几乎不抱信心,不出错的可能性太小了,能以助记符的形式做出来就不错。感觉难度太大,花了不少时间代码清理还没过,放下有1个月了。
linhanshi 雪币： 85220 活跃值： (198520) 能力值： (RANK：10 ) 在线值：发帖 8985 回帖 25608 粉丝 421 关注私信	linhanshi 2008-4-5 23:08 36 楼 0 很谢谢Ryosuke， softworm 两位VIP，学习了
daxia200N 雪币： 662 活跃值： (1642) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 574 粉丝 5 关注私信	daxia200N 6 2008-4-6 13:29 37 楼 0 顶起＋留名。
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 2008-5-9 15:54 38 楼 0 都是高手，我也沾一点光
牛A 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	牛A 2008-5-9 18:16 39 楼 0 专门来拜偶像....
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复