[计算机]虚拟机、虚拟环境与代码动态变形技术.ppt_第1页
[计算机]虚拟机、虚拟环境与代码动态变形技术.ppt_第2页
[计算机]虚拟机、虚拟环境与代码动态变形技术.ppt_第3页
[计算机]虚拟机、虚拟环境与代码动态变形技术.ppt_第4页
[计算机]虚拟机、虚拟环境与代码动态变形技术.ppt_第5页
已阅读5页,还剩28页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

虚拟机、虚拟环境与代码动态变形技术,玩命 ,目录,虚拟机保护的简介 x86虚拟机保护的构建 指令扩展式的构建 第三方虚拟机的构建 代码乱序 代码替换 花指令的构建 问题,虚拟机保护的简介,起源 保护的目的 保护的对象 保护的手段,x86虚拟机保护的构建,为什么要选取x86虚拟机 开发周期短 稳定性高 避免重定位修复,x86虚拟机保护的构建,直接使用x86虚拟机做保护的不安全性 编码的公开 对x86虚拟机解释代码保护 OPCODE表随机映射 字节码的加解密 变形后的指令处理句柄 虚拟机上下文结构随机,x86虚拟机保护的构建,x86虚拟机保护的构建,字节码的加解密 加密后指令1 - decoder(随机的密钥) - 指令1 - HASH(指令1) = key1 加密后指令2 - decoder(key1) - 指令2 - HASH(指令2) = key2 加密后指令3 - decoder(key2)- 指令3 - HASH(指令3) = key3 .,x86虚拟机保护的构建,变形后的指令处理句柄 花指令插入 指令扩展 重定位,x86虚拟机保护的构建,虚拟机上下文结构随机 结构字段的变换 虚拟机上下文重定位结构 用于与上下文结构一同传递,还原原始的上下文结构,x86虚拟机保护的构建,进入虚拟机之前要做的事情 切换堆栈 保存当前运行上下文,x86虚拟机保护的构建,异常的模拟 内存访问权限不足 未知指令,指令扩展保护,源于扭曲加密变换 直接作用于PE文件 指令模板化 重定位的修复,指令扩展保护,指令模板化,指令扩展保护,例如一条指令 add eax, 1 我们可以将它转化为 call ADD_EAX_1 Jmp ADD_EAX_1_END ; 这里为垃圾代码 ADD_EAX_1: push ebp mov ebp, esp sub esp, 0x08 push ebx mov dword ptr ebp-0x04, 5 mov ebx, 4 sub dword ptr ebp-0x04, ebx add eax, dword ptr ebp-0x04 mov esp, ebp pop ebp Ret ADD_EAX_1_END:,指令扩展保护,重定位修复 遍历代码,找出所有的跳转指令 随机的插入代码 重新遍历代码,找出所有的跳转指令 通过第一次找出的偏移进行新偏移的修订,第三方虚拟机,最早可以在某些crackme中见到,用于保护算法 指令编码的设计 汇编器的设计 调试器的设计,第三方虚拟机,壳的虚拟化 壳的重要部分,IAT表修复,加解密运算,反调试模块使用新的汇编语言进行编写,第三方虚拟机,用户的自定义功能扩展 编写反调试模块 增加类似真实指令的伪指令区块,第三方虚拟机,第三方虚拟机,x86代码 - 虚拟机BYTECODE,虚拟机保护可能出现的BUG,外部函数动态跳转引发的状况 从外部函数直接跳入到被保护的函数中,而不
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论