虚拟机保护 逆向思路

已于 2024-01-14 05:00:56 修改
阅读量942 收藏 8
点赞数 7
文章标签: 网络安全
于 2024-01-10 12:05:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dhn987/article/details/135500111
版权
本文探讨了虚拟机保护技术如何通过将代码转化为中间操作码来保护源程序,以及在CTF竞赛中针对私有虚拟机的逆向工程方法,包括分析入口、理解结构和逆向Handler。提到使用IDA进行调试和修改反编译结果以追踪执行流。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概要

基本原理

这里的虚拟机当然并不是指VMWare或者VirtualBox之类的虚拟机,而是指的意思是一种解释执行系统或者模拟器(Emulator)。所以虚拟机保护技术,是将程序可执行代码转化为自定义的中间操作码(OperationCode,如果操作码是一个字节,一般可以称为Bytecode),用以保护源程序不被逆向和篡改,opcode通过emulator解释执行,实现程序原来的功能。在这种情况下,如果要逆向程序,就需要对整个emulator结构进行逆向,理解程序功能,还需要结合opcode进行分析,整个程序逆向工程将会十分繁琐。这是一个一般虚拟机结构:
在这里插入图片描述

这种虚拟化的思想,广泛用于计算机科学其他领域。从某种程度上来说,解释执行的脚本语言都需要有一个虚拟机,例如LuaVM,PythonInterpreter。静态语言类似Java通过JVM实现了平台无关性,每个安装JVM的机器都可以执行Java程序。这些虚拟机可以提供一种平台无关的编程环境,将源程序翻译为平台无关的中间码,然后翻译执行,这是JVM虚拟机的基本架构

分析方法

从这里开始,本文所指的虚拟机都是私有实现的小型虚拟机,并不是指成熟的商用虚拟软件,例如VMProtect、Themida等,这些保护软件的逆向工作研究工作很多,不过比较完善和系统的解决方案还没有出现。

最低0.47元/天 解锁文章
dhn987
关注
VMP3.12过虚拟机、调试器检测
11-07
在计算机安全领域,虚拟机保护(Virtual Machine Protection,VMP)是一种常见的软件保护技术,用于防止未授权访问、调试和逆向工程等。VMP3.12是一种特定版本的虚拟机保护软件,其核心功能是通过将代码和数据混淆,...
基于虚拟机机的代码保护技术
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-17 5756
基于虚拟机机的代码保护技术
VMProtect虚拟机保护及还原
ZK_1874的博客
04-02 2200
VMProtect虚拟机保护及还原
[虚拟机保护逆向] [HGAME 2023 week4]vm
yjh_fnu_ltn的博客
03-08 2793
根基题目来看,这是一道虚拟机保护逆向的题,这里的虚拟机不是传统意义上像VMware 的虚拟机,这里只是一个程序执行了像cpu取指令、执行指令操作,与汇编指令类似,但是这里的指令硬件编码经过了作者的修改(opcode), 再结合其本身的编译器,和一些cpu的环境,来实现类似于cpu执行指令的操作,给逆向增加难度。利用所学的汇编只是分析汇编指令实现的功能: 输入的flag与内存中flag数组后面偏移50的数据进行加法,后于偏移位100处的数据异或,然后执行位移操作(实际上是高8位与低8位互换)
推荐项目:VMProtect - 强大的代码保护解决方案
最新发布
gitblog_00055的博客
05-09 537
推荐项目:VMProtect - 强大的代码保护解决方案 去发现同类优质开源项目:https://gitcode.com/ 1. 项目介绍 VMProtect 是一个高效的开源项目,旨在为软件开发者提供一种强大的工具,以保护他们的源代码不被逆向工程和非法篡改。通过构建自己的虚拟机并在其中执行代码,该项目将原始的机器指令转换为虚拟机指令,极大地增加了破解者的分析难度。 2. 项目技术分析 VMPro...
[虚拟机逆向]UNCTF - 2019 EasyVm
qq_24481913的博客
03-06 1113
虚拟机逆向是指对一个运行在虚拟机上的程序进行逆向工程。虚拟机是一种软件层,它模拟了一种计算机架构,允许程序在不同的平台上运行。在虚拟机上运行的程序通常使用一种特定的指令集,这个指令集不同于在物理机器上运行的指令集。虚拟机逆向包括对虚拟机本身的分析,以及对在虚拟机上运行的程序的分析。对于虚拟机本身的分析,可以探究虚拟机的指令集、内存布局、代码执行流程等方面。对于在虚拟机上运行的程序的分析,可以通过反编译、动态调试等手段获取程序的源代码、调用栈信息、内存映射等信息,以此来理解程序的行为和工作原理。
安卓逆向工具apktool
03-28
- 安全分析:逆向工程师可以通过`apktool`检测应用是否存在恶意行为,或者分析其数据加密、隐私保护机制。 - 开发辅助:开发者可以借此了解其他应用的设计思路,学习优秀的编程实践。 - 二次开发:对于开源项目,...
Reversing:逆向工程揭密
06-21
5.4.8 思路整理 194 5.5 结论 196 第6章 破译文件格式 199 6.1 Cryptex 200 6.2 使用Cryptex 201 6.3 逆向Cryptex 202 6.4 口令校验过程 207 6.4.1 捕获“Bad Password”消息 207 6.4.2 口令变换算法 210 6.4.3 对...
加固技术一路“升级打怪”,会封顶于第五代虚机源码保护技术吗?
dingxiang234的博客
03-28 512
加固技术发展及其攻防对抗的更迭,伴随着互联网技术发展不断升级。作为“正义”的一方,我们深信邪不能胜正,而虚机源码保护加固作为当前领先的加固技术,在未来很长一段时间,能够为App提供足够强度的保护,为企业和开发者的业务发展保驾护航。加固产品。
基于虚拟机的软件保护技术
weixin_34413357的博客
07-18 624
导读基于虚拟机的软件保护技术不确定是否首先由vmprotect提出,但vmprotect毫无疑问是将这项技术大力推广至人所周知。现在基于虚拟机的软件保护技术已经成为现代软件安全防护的必备功能之一。 本文并不打算对vmprotect或其它某款软件安全套件进行深入讨论,而着眼于研究基于虚拟机的软件保护技术的起源、思想和实现。 现有软件保护技术概述 传统的软件保护技术,根据针对对象不同,可分为...
VMPROTECT 虚拟机保护软件
12-23
世界最强大的 虚拟机保护软件,压缩文件!欢迎下载研究!
APP加固技术历程及未来级别方案:虚机源码保护
顶象科技的技术文章
11-23 750
传统App加固技术,前后经历了四代技术变更,保护级别每一代都有所提升,但其固有的安全缺陷和兼容性问题始终未能得到解决。而下一代加固技术—虚机源码保护,适用代码类型更广泛,App保护级别更高,兼容性更强,堪称未来级别的保护方案。
编程实现小型虚拟机保护逆向分析及其保护
weixin_34146986的博客
09-18 323
本文讲的是编程实现小型虚拟机保护逆向分析及其保护, 1.引言 虚拟机保护技术已经出现了10多年,目前已有较多、较为成熟的商业化虚拟机保护产品,如VMProtect、Themida等。这些产品实现的虚拟机过于复杂,而本文仅仅是逆向分析和编程实现小型虚拟机保护,这种小型虚拟机仅用于说明虚拟机保护这种技术,可以用于开发CrackMe,但与真正的虚拟机保护还...
逆向技术简史:从代码混淆到虚拟机保护技术
蛰伏--当你不够强大时,就不要放弃努力
05-05 1057
////////////////////////////////////////////////////// 开发软件的人都知道这个世界上没有破解不了的软件,只有不值得破解的软件。换而言之,只有软件的破解成本超过Hacker收益,软件资产才是相对安全的。Android平台以其免费和开源的特性占据了移动应用领域半壁江山,但也因其应用很容易被逆向破解获取源码,导致它成为Hacker最喜欢攻击的一个“靶子”。 那么如何才能保护自己开发APP不被逆向破解呢?在道高一尺魔高一丈的网络安全攻防对抗中,防逆向保护..
详解反虚拟机技术
热门推荐
houjingyi的博客
10-21 1万+
恶意代码编写者经常使用反虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用反虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,反虚拟机
VMP虚拟机加壳的原理学习
weixin_34267123的博客
09-28 1264
好久没有到博客写文章了,9月份开学有点忙,参加了一个上海的一个CHINA SIG信息比赛,前几天又无锡南京来回跑了几趟,签了阿里巴巴的安全工程师,准备11月以后过去实习,这之前就好好待在学校学习了。 这段时间断断续续把《加密与解码 第三版》给看完了,虽然对逆向还是一知半解,不过对VMP虚拟机加壳这块有了一点新的认识。这里分享一些笔记和想法,没有新的东西,都是书上还KSSD里看来的,权当笔记和分享...
android 防止反编译 安全加固技术
写自己看而已
07-08 2201
代码混淆(ProGuard)技术 主要是重新组织和处理Class文件,降低代码逆向编译后的可读性,即反编译后的代码很难理解。 但该技术无法防止加壳技术进行加壳(加入吸费、广告、病毒等代码),而且只要是细心时间够多的人,依然可以对代码依然可以对代码进行逆向分析,所以该技术并没有从根本解决破解问题,只是增加了破解难度。并且还可以起到压缩APK包的作用。 但是从实际情况来看,由于混淆技术的多元化发展,混淆理论的成熟,混淆的Java代码可以很好地防止反编译。 如何混淆代码 Eclipse的话可以通过Joc.
VMPWN
Amalllの博客
11-11 1151
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
虎符杯——虚拟机逆向
寻梦&之璐
04-05 2874
文章目录查壳拖进idavm函数push[input]print vm_stack[vm_sp]eip++ 查壳 拖进ida 有一个输入参数,记得调试时加上参数。即运行时要指定参数./vm , ida调试要在debugger -> process options -> parameters写上参数code bss_data{ Dword vm_eip; Dword vm_sp; Qword code; // *(bss_data+1) Qword vm_stack; // *(
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值