计算机虚拟机虚拟环境与代码动态变形技术

虚拟机、虚拟环境与代码动态变形技术1精选ppt目录虚拟机保护的简介x86虚拟机保护的构建指令扩展式的构建第三方虚拟机的构建代码乱序代码替换花指令的构建问题2精选ppt虚拟机保护的简介起源保护的目的保护的对象保护的手段3精选pptx86虚拟机保护的构建为什么要选取x86虚拟机开发周期短稳定性高防止重定位修复4精选pptx86虚拟机保护的构建直接使用x86虚拟机做保护的不平安性编码的公开对x86虚拟机解释代码保护OPCODE表随机映射字节码的加解密变形后的指令处理句柄虚拟机上下文结构随机5精选pptx86虚拟机保护的构建6精选pptx86虚拟机保护的构建字节码的加解密加密后指令1->decoder(随机的密钥)->指令1->HASH(指令1)=key1 加密后指令2->decoder(key1)->指令2->HASH(指令2)=key2 加密后指令3->decoder(key2)->指令3->HASH(指令3)=key3 ...7精选pptx86虚拟机保护的构建变形后的指令处理句柄花指令插入指令扩展重定位8精选pptx86虚拟机保护的构建虚拟机上下文结构随机结构字段的变换虚拟机上下文重定位结构用于与上下文结构一同传递,复原原始的上下文结构9精选pptx86虚拟机保护的构建进入虚拟机之前要做的事情切换堆栈保存当前运行上下文10精选pptx86虚拟机保护的构建异常的模拟内存访问权限缺乏未知指令11精选ppt指令扩展保护源于?扭曲加密变换?直接作用于PE文件指令模板化重定位的修复12精选ppt指令扩展保护指令模板化指令扩展保护例如一条指令addeax,1我们可以将它转化为callADD_EAX_1JmpADD_EAX_1_END;;这里为垃圾代码ADD_EAX_1:pushebpmovebp,espsubesp,0x08pushebxmovdwordptr[ebp-0x04],5movebx,4subdwordptr[ebp-0x04],ebxaddeax,dwordptr[ebp-0x04]movesp,ebppopebpRetADD_EAX_1_END:14精选ppt指令扩展保护重定位修复遍历代码,找出所有的跳转指令随机的插入代码重新遍历代码,找出所有的跳转指令通过第一次找出的偏移进行新偏移的修订15精选ppt第三方虚拟机最早可以在某些crackme中见到,用于保护算法指令编码的设计汇编器的设计调试器的设计16精选ppt第三方虚拟机壳的虚拟化壳的重要局部,IAT表修复,加解密运算,反调试模块使用新的汇编语言进行编写17精选ppt第三方虚拟机用户的自定义功能扩展编写反调试模块增加类似真实指令的伪指令区块18精选ppt第三方虚拟机19精选ppt第三方虚拟机x86代码->虚拟机BYTECODE20精选ppt虚拟机保护可能出现的BUG外部函数动态跳转引发的状况从外部函数直接跳入到被保护的函数中,而不是头地址跳转是一个动态跳转,无法修复 moveax,BaseAddress addeax,Offset jmpeax21精选ppt代码乱序增加逆向的难度让壳重新获得程序的控制权22精选ppt代码乱序23精选ppt代码替换将要保护的代码替换为花指令，将被保护的代码放置到新的内存内。在执行被保护的代码时跳转到新的内存。24精选ppt代码替换找到两个JMP/CALL/JCC之间的代码段并记录到结构遍历这个结构,把要替换的代码段搬运到新的空间,在新的空间末尾添加一个跳入原先代码段结束的地址将原先的代码块的首5个字节添加一个JMP跳入到搬运后的地址。并填充同样长度的花指令将这个代码块除了首5个字节其余字节以花指令填充25精选ppt偏移的修复设：目标地址为y，从JMP或者CALL后取出的偏移为x,JMP或者CALL的指令长度为I,当前地址为C。 第一个公式y=C+x+I 第二个公式y=C-(((~x)+1)-I)26精选ppt花指令的产生器的构建根据随机率产生随机的花指令根据要产生的长度随机产生花指令27精选ppt花指令的产生器的构建28精选ppt花指令的产生器的构建29精选p