虚拟机分析笔记

最新推荐文章于 2022-09-05 15:09:47 发布
最新推荐文章于 2022-09-05 15:09:47 发布
阅读量2.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Timmbe/article/details/121867422
版权

虚拟机 代码分析 黑箱测试 eflag 指令执行
关键词由CSDN通过智能技术生成

vmp虚拟机测信道分析学习笔记;
在虚拟机入口或出口处,代码的界面状态是真实的,会暴露函数调用接口,及返回值。
1.获得虚拟机进入函数(界面);

  • 虚拟机在调用一些系统函数或未加密的函数时会退出虚拟机,直到函数返回后,再重新进入虚拟机。
  • 在被加密的函数代码内会出现push call,push jump等跨节跳转指令进入到vmp节。
    -(获得虚拟机退出时界面)在调用未加密函数返回进入到虚拟机时,ebp在当前代码中始终不变,所以当ebp再次恢复时监测ret,call等跳转指令可能就是虚拟机退出代码;
    所以找到虚拟机入口特征后,再模拟执行或追踪,去遍历所有要分析代码块的虚拟机入口。
    2.局部变量在栈中的位置不变;
    进入虚拟机后直到函数执行结束退出虚拟机。栈中相应位置的变量的变化顺序与原始程序相同,
    可以根据传入值,与变量变化顺序猜测函数功能,
    有时虚拟机在call另一个虚拟化过的函数2时会不退出虚拟机直接调用,这时可以在函数2的退出时,再进入虚拟机前获得真实栈信息,通过设置条件断点,可以获得虚拟机内的函数2的“起始地址“,再进行局部变量的监测。
    3.eflag黑箱测试
//jz等价指令
__asm
{
pushfd
pop eax
and eax,0x40;    //提取z标志位
shr eax,6
mov ecx,1
sub ecx,eax;
neg eax;
neg ecx;
}

模拟执行——截获所有eflag的获取操作,如pushfd,修改eflag标志位,判断是否影响 真实代码的jcc标志位,
如果指令数量多,增加and 指令,shr指令辅助查找。
*干预标志位后会影响代码执行路径,需要继续监测-干预;
(通过干预标志位可以实现功能的破解。)
4.指令执行数量

  • 通过输入,监测指令执行数量,(在密码对比等代码中)如果指令执行数量增加可能就代表密码命中,继续测试可能会分析出密码;
  • 判断代码或真正关键跳转的代码相对无用指令可能执行次数极少,通过监测各个指令执行次数,排除无用指令,再测试分析关键跳转。
放牛日记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
虚拟机笔记
qq_42320763的博客
11-04 289
虚拟机 https://blog.csdn.net/demo_gsl/article/details/95215372?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163239934216780255295610%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=163239934216780255295610&biz_id=
VM虚拟机笔记
wd_888的博客
02-05 791
一、基础命令 相对路径: “…/ 上一级目录” ,“./ 当前目录下” 绝对路径:“/ 根目录下” 关机: shutdown -h now ls命令:(1) #ls :列出当前目录下的所有文件名称 (2)# ls 路径:列出指定路径下的所有文件名称 (3)#ls -l 路径 :(2)中的内容以详细列表的形式进行展示 (4))#ls -l 路径 :(3)的基础上把隐藏的文件也显示出...
虚拟机学习笔记
记录每一次收获
06-15 257
运行时候数据区:方法区,堆,java栈,pc寄存器,本地方法栈 每个虚拟机运行的时候,都会有方法区和堆,所有线程共享 每个线程被创建,都会得到自己的java栈和pc寄存器,任何一个线程都不能访问另一个线程的java栈和寄存器。 如果线程执行的是一个java方法(非被地方法),pc寄存器里的值总是指向下一条指令,而java栈中存放的是该线程执行的方法的状态,如:局部变量,传递进来的参数,返...
虚拟机学习笔记(基础)
iy6c3101的博客
09-03 134
虚拟机学习笔记(基础) 文章大量参考周志明《深入理解Java虚拟机》 一.运行时数据区域 程序计数器 线程私有 记录正在执行的虚拟机字节码地址(如果正在执行的是本地方法则为空) Java虚拟机栈线程私有 虚拟机栈描述的是Java方法执行的内存模型:每个方法在执行的同时会创建一个栈帧用于存储局部变量表、操作数栈、常量池引用等信息。从方法调用直至执行完成的过程,对应着一个栈帧在Java虚拟机中出栈和入栈的过程。 JDK1.4中默认为256K,JDK1.5+之后默认为1M 当线程请求的栈深度超过最大值,
java虚拟机学习笔记之垃圾收集
12-22
然而,垃圾收集也存在缺点,如可能增加程序运行的负担,因为它需要不断追踪和分析内存状态,这可能会影响程序性能。此外,开发者对何时进行垃圾回收的控制较弱。 垃圾收集算法主要有以下几种: 1. 引用计数收集器:...
Java虚拟机讲解笔记.docx
02-24
- **JProfiler**: 第三方高级监控工具,提供了更深入的性能分析功能。 #### 七、虚拟机网络模式 - **桥接模式**: 使虚拟机能够像真实计算机一样访问网络。 - **仅主机模式**: 虚拟机只能访问宿主机及其内部网络,...
深入理解Java虚拟机笔记(带目录).docx
05-03
深入理解 Java 虚拟机笔记 Java 虚拟机(JVM)是 Java 语言的运行环境,它负责解释和执行 Java 字节码。下面是 Java 虚拟机相关的知识点: 虚拟机内存结构 Java 虚拟机的内存结构主要包括以下几个部分: * 方法...
Java虚拟机笔记.pdf
06-11
JVM即Java虚拟机,是Java平台的核心组成部分,使得Java可以实现“一次编写,到处运行”的跨平台特性。JVM不是跨平台的,而是其在不同操作系统(如Windows、Linux、macOS)上的实现保证了Java程序能够在这些平台上无...
虚拟机笔记1.pdf
07-21
### 虚拟机笔记1.pdf - Java 相关知识点概览 #### 一、Unix 操作系统背景 - **起源与发展**: - Unix 是一个强大的多用户、多任务操作系统,支持多种处理器架构,属于分时操作系统。它最早由 Ken Thompson、...
虚拟机读书笔记
sinat_35572837的博客
06-20 243
Dalvik虚拟机的特点 即时编译JIT Dalvik启动流程 Dalvik虚拟机在Zygote进程中启动和初始话.AndroidRuntime.cpp的startVM()函数开始启动Dalvik 介绍操作系统内存管理的微信公众号文章 https://www.zhihu.com/question/27871198 ...
VMWare虚拟机使用笔记
weixin_44712637的博客
10-15 206
1.虚拟机与主机互相拖拽复制文件 安装VMWare Tool 虚拟机与主机共享文件(VMWare Tool已安装) VMWare与主机共享文件 https://blog.csdn.net/niuxiaolei/article/details/82940398 【笔记】 a) 虚拟机中设置共享文件夹(全英文)路径 虚拟机–设置–共享文件夹–总是启用–添加路径 b)切换root权限运行wmware...
虚拟机解析
liminwu_6的博客
11-05 495
虚拟机解析一、Java 虚拟机结构解析JVM整体结构解析Java 代码的编译和执行过程编译流程类加载器加载流程 Loading:类的信息从文件中获取并且载入到 JVM 的内存里 Verifying:检查读入的结构是否符合 JVM 规范的描述 Preparing:分配一个结构用来存储类信息 Resolving:把这个类的常量池中的所有的符号引用改变成直接引用 Initializing:执行静态初始化程
几维KVM虚拟机分析(一)
雪一梦的博客
12-23 526
由于虚拟机运行的runtime,几维混淆的实在是太凶了,可能是怕被人分析吧! 在关键函数中出现有个cmp R0,5,感觉可能会影响后面程序的运行流程, 因此关注运行的第五次结果。 大量的伪造控制流使得分析起来的难度很大; 由于控制流中大量的这种操作,简直分析起来太美妙。   接下来不知道做了什么操作: F7进去如下: 这个函数为真正的Hand...
深入理解java虚拟机笔记(一)-java内存区域与内存溢出
_StriveG的专栏
11-17 2406
1. 前言这是深入理解java虚拟机一书的笔记,来自第二章。因为这本书讲的比较深奥,这是第二次看,需要记录一下笔记。2. 运行时数据区域java虚拟机所管理的内存分为以下几个区域。ps:图片来自网络2.1 程序计数器程序计数器是一块较小的内存空间,他可以看做是当前线程所执行字节码的行号指示器。字节码解释器工作时就是通过改变这个计数器的值来选去下一条要执行的字节码指令,分之、循环、跳转、异常处理、线程
建立虚拟计算机笔记,虚拟机创建的50个步骤以及100个知识点(仅作为个人笔记使用)...
weixin_29387991的博客
07-26 204
网上大侠们分享的资料都非常好,就看你会不会用,如何使用,再次对本文所引用资料的作者表示感谢,如有侵权,请告知。大致过程参考资料这些概念都是了解SSL和https的必须的,而且我们在部署Openstack的时候,所有的服务最好也部署成HTTPS的。下面这两篇文章会帮你更好的了解SSL对于Openssl,推荐下面的链接对于certtool,推荐libvirt的官方文档,讲的非常的形象具体keyston...
【VMware】VMware 虚拟机使用笔记
bandaoyu的note
12-06 2313
最近,重装系统后,想看看能不能用绿色版的VMware(因本人酷爱绿色软件),于是试着点了下原来的安装后文件,发现不行之后,决定重装,结果又遇到了 failed to create the requested registry key installer error 1021 问题,不过我已经忘记了这个问题的解决方法,于是百度、Google 在一个叫 梦之路 博客中又看到了以前在那条英文回帖中看到的内容。分析: 在这简单的分析下,我之前为什么不创建注册表项,而只是删除注册表项。该方法对本人,两次有效。
Java虚拟机底层原理分析
最新发布
zsh2050的专栏
09-05 985
Class文件中的常量池中存有大量的符号引用,字节码中的方法调用指令就是以常量池里指向方法的符号引用作为参数的,这些符号的一部分会在类加载阶段或者第一次使用的时候被转化为直接引用,这种转化被称为静态解析。因为方法的执行对应着栈帧的入栈出栈,所以将所属方法的引用存放在栈帧中。3.默认情况下,对应一个64位的服务端JVM来说,其默认的-XX:MetaspaceSize值为21MB,这就是初始的高水位线,一旦元空间的大小触及这个高水位线,就会触发Full GC并会卸载没有用的类,然后高水位线的值将会被重置。
Java并发编程与虚拟机深度解析笔记
笔记详细介绍了垃圾收集(GC)的基本原理,各种GC算法,HotSpot虚拟机的实现,以及如何解读GC日志。通过内存分配演示和GC总结,读者可以深入理解Java程序的内存管理。 此外,笔记还包含了一些参考资料,方便读者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值