虛擬機 虛擬環境與代碼動態變形技術 目錄 虛擬機保護的簡介x86虛擬機保護的構建指令擴展式的構建第三方虛擬機的構建代碼亂序代碼替換花指令的構建問題 虛擬機保護的簡介 起源保護的目的保護的對象保護的手段 x86虛擬機保護的構建 為什么要選取x86虛擬機開發周期短穩定性高避免重定位修復 x86虛擬機保護的構建 直接使用x86虛擬機做保護的不安全性編碼的公開對x86虛擬機解釋代碼保護OPCODE表隨機映射字節碼的加解密變形后的指令處理句柄虛擬機上下文結構隨機 x86虛擬機保護的構建 x86虛擬機保護的構建 字節碼的加解密加密后指令1 decoder 隨機的密鑰 指令1 HASH 指令1 key1加密后指令2 decoder key1 指令2 HASH 指令2 key2加密后指令3 decoder key2 指令3 HASH 指令3 key3 x86虛擬機保護的構建 變形后的指令處理句柄花指令插入指令擴展重定位 x86虛擬機保護的構建 虛擬機上下文結構隨機結構字段的變換虛擬機上下文重定位結構用于與上下文結構一同傳遞 還原原始的上下文結構 x86虛擬機保護的構建 進入虛擬機之前要做的事情切換堆棧保存當前運行上下文 x86虛擬機保護的構建 異常的模擬內存訪問權限不足未知指令 指令擴展保護 源于 扭曲加密變換 直接作用于PE文件指令模板化重定位的修復 指令擴展保護 指令模板化 指令擴展保護 例如一條指令addeax 1我們可以將它轉化為callADD EAX 1JmpADD EAX 1 END 這里為垃圾代碼ADD EAX 1 pushebpmovebp espsubesp 0 x08pushebxmovdwordptr ebp 0 x04 5movebx 4subdwordptr ebp 0 x04 ebxaddeax dwordptr ebp 0 x04 movesp ebppopebpRetADD EAX 1 END 指令擴展保護 重定位修復遍歷代碼 找出所有的跳轉指令隨機的插入代碼重新遍歷代碼 找出所有的跳轉指令通過第一次找出的偏移進行新偏移的修訂 第三方虛擬機 最早可以在某些crackme中見到 用于保護算法指令編碼的設計匯編器的設計調試器的設計 第三方虛擬機 殼的虛擬化殼的重要部分 IAT表修復 加解密運算 反調試模塊使用新的匯編語言進行編寫 第三方虛擬機 用戶的自定義功能擴展編寫反調試模塊增加類似真實指令的偽指令區塊 第三方虛擬機 第三方虛擬機 x86代碼 虛擬機BYTECODE 虛擬機保護可能出現的BUG 外部函數動態跳轉引發的狀況從外部函數直接跳入到被保護的函數中 而不是頭地址跳轉是一個動態跳轉 無法修復moveax BaseAddressaddeax Offsetjmpeax 代碼亂序 增加逆向的難度讓殼重新獲得程序的控制權 代碼亂序 代碼替換 將要保護的代碼替換為花指令 將被保護的代碼放置到新的內存內 在執行被保護的代碼時跳轉到新的內存 代碼替換 找到兩個JMP CALL JCC之間的代碼段并記錄到結構遍歷這個結構 把要替換的代碼段搬運到新的空間 在新的空間末尾添加一個跳入原先代碼段結束的地址將原先的代碼塊的首5個字節添加一個JMP跳入到搬運后的地址 并填充同樣長度的花指令將這個代碼塊除了首5個字節其余字節以花指令填充 偏移的修復 設 目標地址為y 從JMP或者CALL后取出的偏移為x JMP或者CALL的指令長度為I 當前地址為C 第一個公式y C x I第二個公式y C x 1 I 花指令的產生器的構建 根據隨機率產生隨機的花指令根據要產生的長度隨機產生花指令