首页
社区
课程
招聘
[原创]Code Virtualizer的一点分析和还原
发表于: 2008-4-3 16:08 23180

[原创]Code Virtualizer的一点分析和还原

2008-4-3 16:08
23180
收藏
免费 8
支持
分享
最新回复 (38)
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
26
不得不顶的好贴,学习
2008-4-4 23:05
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
27
楼上几位的批评是不对的,我的确没看过CV加出来的东西。不过看Ryosuke的文章,有点象Tmd|WL选CISC类型时的VM。IDB里变形代码相对较少,也没有假的jcc分枝,也许Ryosuke
保护的时候选的强度不高?

顺便问一句,Ryosuke怎么搞的变形代码? 我本想再玩一下,不过最近工作比较忙,要放一放了。
2008-4-5 10:21
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
28
楼上欲盖弥彰啊
2008-4-5 10:39
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
29
虚伪门事件。
不过我觉得cv>vmp
2008-4-5 10:41
0
雪    币: 1946
活跃值: (263)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
30
不 能 不 顶 啊
2008-4-5 10:58
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
CV本身卖的就是纯粹的VM,自然要考虑效率,自然不会动用THEMIDA速度最慢的VM构架。
2008-4-5 11:08
0
雪    币: 444
活跃值: (103)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
收藏学习,谢谢分享
2008-4-5 11:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
学习啊
2008-4-5 12:07
0
雪    币: 370
活跃值: (78)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
34
对,我选择的是中等加密强度,目的是不想产生太多的垃圾变形代码PCode,这个例子只是一个演示如何分析CV的VM,只是一个例子。不管用哪种强度,它的dispatch_code好像都没有怎么变化,除了dispatch_no被重新排序以外,但是VM_Data里面生成的垃圾代码变多了很多。

CV的代码变形和TMD的代码变形一样,就那几种,我想SM兄应该很清楚的,无非就是静态分析,和动态调试。
2008-4-5 17:25
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
35
我想试试用程序实现变形代码清理,得到大致干净的VM解释引擎,再根据handler的特征及PCODE与机器码的对应关系,做个半自动的工具来还原代码。PCODE到机器码的转换我以前都是直接读的,完全没有实战价值。不过我对直接得到正确的机器码几乎不抱信心,不出错的可能性太小了,能以助记符的形式做出来就不错。

感觉难度太大,花了不少时间代码清理还没过,放下有1个月了。
2008-4-5 19:48
0
雪    币: 98729
活跃值: (201034)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
36
很谢谢Ryosuke, softworm 两位VIP,学习了
2008-4-5 23:08
0
雪    币: 690
活跃值: (1841)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
37
顶起+留名。
2008-4-6 13:29
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
都是高手,我也沾一点光
2008-5-9 15:54
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
专门来拜偶像....
2008-5-9 18:16
0
游客
登录 | 注册 方可回帖
返回
//