XxDisasm-Vmprotect VM分析还原插件
反编译器是一个以可执行文件作为输入,反编译出高等级源代码的程序。它是编译器的反向过程,编译器把高级源代码编译成可执行文件。反编译器通常不能完美的重现源代码,也不能很好的处理混淆代码。至少,反汇编器是计算机软件逆向工程中非常重要的工具。“反编译器”通常的解释为:一个可以将可执行文件转换成高级语言源代码的程序,当重新编译后,组建出的可执行程序的行为和原始的可执行程序一样。对比,反汇编器把可执行文件转换成汇编语言,而汇编器把汇编语言编译成可执行程序。
反编译过程就是使用的反编译器的过程,从反编译器的字面意思可以看出。它可以用在复原遗失的源代码,在计算机安全,协同工作,错误纠正方面也是很有用的。反编译过程的关键在于反编译出的代码信息和分析报告。字节码格式被用在许多的虚拟机中(例如Java虚拟机和.NET Framework Common Language Runtime)通常包含了广泛的元数据和高级语言规则,使得反编译过程成为可行的。调试数据的出现使反编译出原始变量,结构体,甚至行号成为可能。机器语言如果没有元数据和调试数据,就会使反编译变的非常困难。
一些编译器和编译器组件可以生成混淆代码(这样生成的代码会使反编译变得更加困难)。这样会给逆向带来难度。
我们的工作
自从汇编级代码混淆和代码虚拟化的出现,给软件分析带来了很大的困难,我们的工作就是使这类代码的分析变得简单。
我们的产品
现在,我们提供了一款可以分析一类汇编级虚拟化代码的组件。为了使用更加方便,我们将它接入调试器中。
xx_vm_release
vmp虚拟代码分析还原插件,可以自动化的分析由vmp保护的虚拟代码,提供了包含丰富信息的日志文件,通过对日志伪代码的分析,我们几乎可以还原出原始指令。从而达到分析目的。目前我们已经开发出OllyDbg适用的插件,后续我们也会对接其他主流调试器。
xxdisasm是一款功能强大的反汇编引擎库,详细的解码了单条指令,包含丰富的指令信息,几乎可以精确的描述指令的语义以及操作项的语义。
支持32位,64位指令解析 包含丰富的指令接口,接口简洁,无复杂的数据结构。
Download: http://xxdisasm.com/product/download/xx_vm_release_demo.zip
Demo基于released修改:
1.released旧版功能,使用没有影响
2.添加-每次使用出现唯美的Nag提示框,使用没有影响
3.添加-必须在VMStart处才可以分析VM代码,使用有点影响
4.支持版本: Vmprotect 3.x.x-3.2.0
目前Demo版,and xor jcc指令还原到原代码,需分析合并简化的伪代码
PS: 指令的简化功能+VM流程handle识别 +handle操作结果显示添加中。。。。
页:
[1]