《代码虚拟与自动化分析》是一本深入讨论代码虚拟化和自动化分析技术的优秀书籍。本书分为三个部分,系统地介绍了代码虚拟、自动化分析、算法和数据结构等相关知识。通过详细的案例分析,读者可以了解代码虚拟化技术的基础,并通过实际的分析过程更深入地理解代码虚拟化技术的应用。本书内容充实,文字通俗易懂,对于想深入了解代码虚拟化和自动化分析技术的读者来说,是一本值得推荐和下载的好书。
代码虚拟与自动化分析 电子书封面
内容补充
代码虚拟与自动化分析 随书源码下载
链接: https://pan.baidu.com/s/1GkWjfF9vPwPr8zcL4lVoeA 提取码: 76mc
内容介绍
《代码虚拟与自动化分析》主要分成3个部分讨论代码虚拟和自动化分析技术。第1部分主要讨论代码虚拟化技术的各种实现方法,并通过一些现有的代码虚拟化技术应用案例引领读者了解代码虚拟化的技术基础。第2部分主要介绍和讨论代码自动化分析技术,也就是对在第1部分中介绍的代码虚拟化技术进行讨论,利用虚拟化技术自身进行自动化分析,通过实际的代码将自动化分析技术从理论变为实际的程序,提升读者对自动化分析技术的理解和运用水平。第3部分使用自动化分析技术全面分析Winlicense和VMProtect保护系统,展示自动化分析技术,并通过实际的分析过程带领读者深入体会代码虚拟化技术。本书适合信息安全领域相关人员、高校相关专业学生及爱好者阅读。
目录
- 第1部分 实现原理
- 第1章 代码虚拟化原理 2
- 第2章 模拟虚拟化 12
- 第3章 自动化分析原理 29
- 第4章 花型替换分析 37
- 第2部分 技术分析
- 第5章 打造自动化分析工具 74
- 第6章 代码虚拟机结构分析 129
- 第7章 OP分支功能性分析 163
- 第8章 对比测试分析 188
- 第9章 实时监控分析 206
- 第10章 OP实时调试分析 231
- 第3部分 实例分析
- 第11章 Winlicense 2.3.2分析 244
- 第12章 VMProtect分析 287
- 第13章 xVMDebug插件 306
静态分析 在静态分析基于虚拟机保护的代码时,一般的工具都是没有效果的,因为字节码都是我们自己定义的,只有解释器能够识别。所以在用ida分析时字节码只是一段不能识别的数据。 这就是ida识别到的target_func的代码,已经做到了对抗静态分析。不过还是可以静态分析我们的解释器,在分析解释器的时候,解释器中的控制流会比源程序的控制流复杂很多,这样也是会增加分析难度。 动态调试 在动态调试的时候字节码依然不能被识别,而且处理器也不会真正的去执行这些不被识别的东西。因为这些字节码都是被我们的虚拟处理器通过解释器执行的,而我们的解释器都是native指令,所以可以静态分析,也可以动态调试。但是动态调试的时候只是在调试解释器,在调试过程中只能看到在不断的调用各个指令的解释函数。所以想要真正还原出源码就需要在调试过程中找到所有字节码对应的native指令的映射关系,最后,通过这个映射关系来把字节码转换成native指令,当然也可以修复出一个完全脱壳并且可以执行的native程序,只是过程会比较繁琐。
什么是代码虚拟化 虚拟化实际上我认为就是使用一套自定义的字节码来替换掉程序中原有的native指令,而字节码在执行的时候又由程序中的解释器来解释执行。自定义的字节码是只有解释器才能识别的,所以一般的工具是无法识别我们自定义的字节码,也是因为这一点,基于虚拟机的保护相对其他保护而言要更加难破解。但是解释器一般都是native代码,这样才能使解释器运行起来解释执行字节码。其中的关系就像很多的解释型语言一样,不是系统的可执行文件,不能直接在系统中运行,需要相应的解释器才能运行,如python。 为什么研究代码虚拟化 目前很多地方都会用到虚拟化技术,比如sandbox、程序保护壳等。很多时候为了防止恶意代码对我们的系统造成破坏,我们需要一个sandbox,使程序运行在sandbox中,即使恶意代码破坏系统也只是破坏了sandbox而不会对我们的系统造成影响。还有如vmp,shielden这些加密壳就是内置了一个虚拟机来实现对程序代码的保护,基于虚拟机的保护相对其他保护而言破解起来会更加困难,因为使用现有的工具也是不能识别虚拟机的字节码。在见识过这类保护壳的威力之后,也萌生出了自己动手写一个的冲动,所以才有了本文