虛擬機虛擬環(huán)境與代碼動態(tài)變形技術

虛擬機 虛擬環(huán)境與代碼動態(tài)變形技術 目錄 虛擬機保護的簡介x86虛擬機保護的構建指令擴展式的構建第三方虛擬機的構建代碼亂序代碼替換花指令的構建問題 虛擬機保護的簡介 起源保護的目的保護的對象保護的手段 x86虛擬機保護的構建 為什么要選取x86虛擬機開發(fā)周期短穩(wěn)定性高避免重定位修復 x86虛擬機保護的構建 直接使用x86虛擬機做保護的不安全性編碼的公開對x86虛擬機解釋代碼保護OPCODE表隨機映射字節(jié)碼的加解密變形后的指令處理句柄虛擬機上下文結構隨機 x86虛擬機保護的構建 x86虛擬機保護的構建 字節(jié)碼的加解密加密后指令1 decoder 隨機的密鑰 指令1 HASH 指令1 key1加密后指令2 decoder key1 指令2 HASH 指令2 key2加密后指令3 decoder key2 指令3 HASH 指令3 key3 x86虛擬機保護的構建 變形后的指令處理句柄花指令插入指令擴展重定位 x86虛擬機保護的構建 虛擬機上下文結構隨機結構字段的變換虛擬機上下文重定位結構用于與上下文結構一同傳遞 還原原始的上下文結構 x86虛擬機保護的構建 進入虛擬機之前要做的事情切換堆棧保存當前運行上下文 x86虛擬機保護的構建 異常的模擬內(nèi)存訪問權限不足未知指令 指令擴展保護 源于 扭曲加密變換 直接作用于PE文件指令模板化重定位的修復 指令擴展保護 指令模板化 指令擴展保護 例如一條指令addeax 1我們可以將它轉化為callADD EAX 1JmpADD EAX 1 END 這里為垃圾代碼ADD EAX 1 pushebpmovebp espsubesp 0 x08pushebxmovdwordptr ebp 0 x04 5movebx 4subdwordptr ebp 0 x04 ebxaddeax dwordptr ebp 0 x04 movesp ebppopebpRetADD EAX 1 END 指令擴展保護 重定位修復遍歷代碼 找出所有的跳轉指令隨機的插入代碼重新遍歷代碼 找出所有的跳轉指令通過第一次找出的偏移進行新偏移的修訂 第三方虛擬機 最早可以在某些crackme中見到 用于保護算法指令編碼的設計匯編器的設計調(diào)試器的設計 第三方虛擬機 殼的虛擬化殼的重要部分 IAT表修復 加解密運算 反調(diào)試模塊使用新的匯編語言進行編寫 第三方虛擬機 用戶的自定義功能擴展編寫反調(diào)試模塊增加類似真實指令的偽指令區(qū)塊 第三方虛擬機 第三方虛擬機 x86代碼 虛擬機BYTECODE 虛擬機保護可能出現(xiàn)的BUG 外部函數(shù)動態(tài)跳轉引發(fā)的狀況從外部函數(shù)直接跳入到被保護的函數(shù)中 而不是頭地址跳轉是一個動態(tài)跳轉 無法修復moveax BaseAddressaddeax Offsetjmpeax 代碼亂序 增加逆向的難度讓殼重新獲得程序的控制權 代碼亂序 代碼替換 將要保護的代碼替換為花指令 將被保護的代碼放置到新的內(nèi)存內(nèi) 在執(zhí)行被保護的代碼時跳轉到新的內(nèi)存 代碼替換 找到兩個JMP CALL JCC之間的代碼段并記錄到結構遍歷這個結構 把要替換的代碼段搬運到新的空間 在新的空間末尾添加一個跳入原先代碼段結束的地址將原先的代碼塊的首5個字節(jié)添加一個JMP跳入到搬運后的地址 并填充同樣長度的花指令將這個代碼塊除了首5個字節(jié)其余字節(jié)以花指令填充 偏移的修復 設 目標地址為y 從JMP或者CALL后取出的偏移為x JMP或者CALL的指令長度為I 當前地址為C 第一個公式y(tǒng) C x I第二個公式y(tǒng) C x 1 I 花指令的產(chǎn)生器的構建 根據(jù)隨機率產(chǎn)生隨機的花指令根據(jù)要產(chǎn)生的長度隨機產(chǎn)生花指令