组织：看雪学院组织本专场
时间：2009年11月12日（星期四）
[QUOTEd=虚拟机，虚拟环境与代码动态变形技术]
题目：虚拟机，虚拟环境与代码动态变形技术
作者：看雪论坛『安全编程论坛』版主闫文斌（玩命)



闫文斌（玩命），看雪论坛『安全编程论坛』 版主，擅长C/C++还有ASM方面的编程，研究方向包括病毒、软件保护壳、Rootkit。2006年在四川空管局进行信息技术安全普及讲座，2008年在xKungFoo安全峰会进行主题为“病毒感染策略与分析”的演讲。

本议题分为两个阶段。

第一个阶段详细讲解关于虚拟机保护理论，分为7个部分。

1.x86虚拟机的构建：探讨传统x86虚拟机的设计以及编码，以及为什么虚拟机保护要首先实现 x86虚拟机为首要步骤。

2.虚拟指令的加密与解密：对x86虚拟机的指令进行加密与在运行过程中的解密，以及探讨为什么要这样做。

3.随机虚拟指令的算子：对x86虚拟指令进行随机加密，运行过程中如何进行随机的解密，以延长Cracker对虚拟机的分析时间。并且探讨随机算子生成的方法与对应的解密算法。

4.虚拟机健壮性设计：探讨在实际应用中，虚拟机在模拟哪些现实中常见的问题。例如SEH异常处理链、引入表的处理、访问越界、不常见指令等，以增强虚拟机的稳定性。

5.自定义虚拟机的体系结构：讲解与x86虚拟机完全无关的虚拟机在保护中的应用、自定义的虚拟机、自定义的体系结构的设计，以及在软件保护中应用过后的强度。

6.软件保护壳的虚拟化：通过自定义虚拟机使用自定义的编码对壳的编写、x86编码向自定义编码的转换，介绍两种编译器的大体结构。

7.虚拟机保护壳的内存布局：讨论现实壳与虚拟壳在内存中实际使用情况的交互状况、启动顺序、保护点等。

第二阶段详细讨论关于代码混淆的理论与实际效果展示。

1.代码混淆的原理：讨论代码混淆的产生、代码混淆的所用的技术。

2.自动代码替换：讲解在代码混淆过程中一种重要的支持技术。将原始代码进行替换并且制造随机花指令，并生成自动跳入原始代码片段的入口点。

3.花指令生成器的设计：因为这节并不是代码混淆的重点，但也作为关键的辅助技术之一。讨论花指令生成的设计、随机垃圾指令的产生。

4.代码混淆实际演示：代码混淆的实际应用。

听众可以了解以下内容。

1.增强了对传统虚拟机保护的认识。
2.理解自定义虚拟机在软件保护中的应用。
3.代码混淆在软件保护中应用，以及如何去构建它。

题目：VMProtect的逆向分析和静态还原
演讲者：看雪论坛『加壳与脱壳』版主 冯典



冯典（Bughoho），看雪论坛『加壳与脱壳』版主，拥有三年左右在windows安全技术方面的研究经验，对程序安全、加密解密、逆向工程都有涉猎，对虚拟机加密解密有比较深入的研究，《加密与解密（第3版）》作者之一，参与编写第十七章“虚拟机的设计”。研究方向有虚拟机、软件保护、加密解密等。

本议题简单介绍了VMProtect软件与其使用的目前比较流行的虚拟机加密技术，并详细讲解了被虚拟机保护后的逆向分析以及相应的静态还原解决方案。议题大致可概括为以下3个部分。

1. VMProtect与虚拟机保护技术的简单介绍。
2. VMProtect虚拟机的逆向分析。
3. 虚拟机的静态还原。

听众可以了解以下内容。

1． 了解了虚拟机保护软件的应用以及目前在软件保护方面为何如此流行的原因。
2． 进一步了解了虚拟机的构造。
3． 获得经过虚拟机处理的软件的逆向思路。

题目：VT调试器的编写
张玉林，从事软件安全方面的工作，在软件反静态、动态分析、防内存补丁方面，以及网络游戏防作弊方面做了一些研究工作。

注：刘涛涛和张玉林正在开发VT调试器，期待TRW2000 VT版早日面世。