虚拟化基础的混淆分析:探索自动化解混淆之路

最新推荐文章于 2024-06-24 14:20:09 发布
最新推荐文章于 2024-06-24 14:20:09 发布
阅读量330 收藏 3
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00041/article/details/139461479
版权

虚拟化基础的混淆分析:探索自动化解混淆之路

r2con2021_deobfuscationWorkshop Material on VM-based Deobfuscation项目地址:https://gitcode.com/gh_mirrors/r2/r2con2021_deobfuscation

在这个开源项目中,我们深入研究了基于虚拟化的代码混淆技术,并提供了在r2con2021大会上进行的4小时解混淆研讨会的内容。通过这个项目,你可以学习到虚拟机的基本原理,以及如何手动分析由Tigress生成的简单虚拟机样本。不仅如此,我们还将利用符号执行来自动化分析过程,并构建一个基于Miasm的动态VM反汇编器。

项目介绍

该项目包括幻灯片、示例代码和工作坊的实践部分。特别是对于那些对代码混淆和虚拟机逆向工程感兴趣的开发者而言,这是一次难得的学习机会。此外,还提供了活动的录像,方便未能参加现场活动的人也能受益。

项目技术分析

首先,项目引导你了解虚拟化为基础的代码混淆,这是一种用于隐藏代码真实逻辑的技术。然后,你将亲自分析一个由Tigress工具生成的虚拟机样本,以此理解其运行机制。接着,我们会利用[Miasm]库实现符号执行,这是一个强大的逆向工程框架,它可以帮助我们自动化分析和理解虚拟机的行为。

应用场景

虚拟化基础的混淆分析在安全领域有着广泛的应用。例如,它可以用于软件保护,防止恶意攻击者逆向工程破解;也可以用于学术研究,增进我们对代码混淆的理解,推动相关防御技术的发展。

项目特点

  1. 理论与实践结合:不仅有理论讲解,还有实际操作的环节,帮助你更好地理解和掌握知识。
  2. 工具导向:利用[Miasm]进行自动化分析,提高效率,降低复杂性。
  3. 开源资源丰富:包含了研讨会的全部资料,可以随时查看和学习。
  4. 互动性强:提供联系方式,鼓励参与者提问和交流,形成活跃的社区环境。

要开始你的旅程,请按照项目中的安装指南进行操作,并准备好进入虚拟机世界的深度探索之旅吧!

# 在Debian或Ubuntu系统上:
sudo apt-get install python-dev

# 克隆仓库并初始化子模块
git clone https://github.com/mrphrazer/r2con2021_deobfuscation.git
cd r2con2021_deobfuscation
git submodule update --init --rebase --recursive

# 安装Miasm
cd miasm
pip install -r requirements.txt
pip install .
cd ..

任何疑问或反馈,欢迎联系Tim Blazytko(@mr_phrazer)。

r2con2021_deobfuscationWorkshop Material on VM-based Deobfuscation项目地址:https://gitcode.com/gh_mirrors/r2/r2con2021_deobfuscation

劳治亮
关注
网络攻防技术的技术基础,网络攻防原理与技术
wenangou的博客
10-11 689
权重是对所输入的资料的重要性的一个指标。其实只要你有恒心和兴趣(兴趣很重要),神经网络也不是那么难学的,先看一些入门的知识,最好能做一下像C++(较难)或Matlab(交易)的神经网络编程,这对你的神经网络学习会很有帮助的。神经网络的类型有很多种,把你要学习的主要神经网络的结构先学习下,然后最好能结合纯代码编写的神经网络,一开始最好不要用工具箱来实现,那样你看不到内部是怎么实现的,只有结合概念和纯粹一步步实现的代码来学习,才能够更好的理,一种神经网络掌握了,其他的都是类似的,学习起来就简单了!
美国人口普查年收入情况分析
weixin_37379106的博客
12-16 6181
美国人口普查年收入情况分析 把sklearn几乎所有分类方法都用一遍 文章目录美国人口普查年收入情况分析0.背景介绍1.数据预处理1.1数据导入1.2 数据格式处理1.3 缺失值处理2.数据探索分析2.1 数据整体情况描述2.2 缺失情况分析2.3 变量之间的关系3. 特征工程:One-hot编码4. 分类模型4.1随机森林4.2决策树4.3 Logistic Regression4.4 ad...
代码虚拟与自动化分析 完整版
01-15
本书主要分成3个部分讨论代码虚拟和自动化分析技术。第1部分主要讨论代码虚拟化技术的各种实现方法,并通过一些现有的代码虚拟化技术应用案例引领读者了代码虚拟化的技术基础。第2部分主要介绍和讨论代码自动化分析技术,也就是对在第1部分中介绍的代码虚拟化技术进行讨论,利用虚拟化技术自身进行自动化分析
《代码虚拟与自动化分析》1-3章笔记
KD的疯狂实验室
12-20 1506
第1章 代码虚拟化原理 第2章 模拟虚拟化 第3章 自动化分析原理
[原创]虚拟机源代码完整分析
09-14
虚拟机是一种程序安全保护机制,就像程序的加壳一样,所传文件是一个虚拟机的源代码,可以帮助理虚拟机的编写机制,包含C与C++,以及少量汇编语言,值得一看,原创作品
Tigress学习系列【3】(Flatten)
qq_42308741的博客
05-12 458
Flatten Flatten官网地址 1 控制流扁平化混淆过程如下所示。 2 命令选项 Option Arguments Description - -Transform Flatten 使用Wang Chenxi的算法实现控制流扁平化 - - FlattenDumpBlocks BOOLSPEC 如果为真则打印线性化基本块,如果为假则保持原样,默认为假 - -FlattenSplitBasicBlocks BOOLSPEC 如果为真,没有中间分支的赋值序列和调用语句的基本块被分
tigress
qq_41819927的博客
01-15 3000
tigress安装混淆tigresstigress安装功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 tigress ...
"订阅服务价值评估:客户获取和保留的重要性
我们建立了一种方法来估计收购或保留用户的货币价值的基础上估计服务和关闭LTV。 为了克服缺乏数据的关闭服务的家庭,我们使用的方法,基于马尔可夫链,恢复关闭服务的LTV从最小的数据非用户转换
算法规制的路径创新:论我国算法审计制度的构建
最新发布
fzq0625的博客
06-24 443
摘 要:算法是数字经济发展和数字社会运转的核心要素,算法异化不仅可能损害公共利益,也将提高数字社会的运行风险。算法审计是有力规范和监督算法权力、防范数字风险、控制算法异化的制度工具,在全球得到认可和适用。算法审计是技术审计,其审查对象包括算法模型、数据及与之有关的设计开发运行活动。算法审计是合规审计,其目的是检测算法价值观是否符合法律要求,从而推动算法向善。算法审计是风险审计,其以风险为导向,对不同风险等级的算法需规定不同的审计要求。我国应该制定《算法规制法》,将算法审计纳入算法问责框架,对算法审计的实施主
在阿里,我们如何管理测试环境
阿里云技术
01-30 2854
前言 阿里的许多实践看似简单,背后却蕴涵着许多思考,譬如测试环境的管理。 互联网产品的服务通常是由Web应用、中间件、数据库和许多后台业务程序组成的,一套运行环境就是一个自成一体的小生态。最基本的运行环境是线上环境,部署产品的正式发布版本,为用户提供持续可靠的服务。 除此以外,还有许多不对外部用户开放的运行环境,用于产品团队日常的开发和验证,统称为测试环境。正式环境的稳定性,除去软件自身的质...
Tigress一种多样化的C语言虚拟器/混淆器-python
06-21
Tigress一种多样化的C语言虚拟器/混淆Tigress 保护 Tigress 是用于 C 语言的多样化虚拟化器/混淆器,支持许多新颖的防御静态和动态逆向工程以及去虚拟化攻击。 特别是,Tigress 通过生成具有任意复杂性和多样性的虚拟指令集、通过生成具有多种指令调度类型的释器以及通过插入用于反别名分析的代码来防止静态去虚拟化Tigress 通过将真实代码与虚假函数合并、插入隐式流以及创建缓慢执行的重入释器来防止动态去虚拟化Tigress 通过使用运行时代码生成来实现自己的代码打包版本。 最后,Tigress 的动态转换提供了一种持续运行时代码修改的通用形式。 VM 描述 Tigress 团队提供了一些挑战,我们可以在其中找到不同类型的保护 VM-0:一层虚拟化,随机调度。 VM-1:一层虚拟化、超级运算符、拆分指令处理程序。 VM-2:一层虚拟化、虚假功能、隐式流。 VM-3:一层虚拟化,指令处理程序用算术编码混淆虚拟化功能被拆分,拆分的部分合并。 VM-4:两级虚拟化,隐式流。 VM-5:一层虚拟化,一层抖动,隐式流。 VM-6:两级抖动
Python-Tigress一种多样化的C语言虚拟器混淆
08-12
Tigress一种多样化的C语言虚拟器/混淆
qemu代码分析.pdf
01-14
qemu 是使用动态二进制翻译的 cpu 模拟器,它支持两种运行模式:全系统模拟和用户态模拟。在全系统模拟下,qemu 可以模拟处理器和各种外设,可以运行操作系统。用户态可以运行为另外一种 cpu 编译的进程,前提是两者运行的 os 要一致。该文档对qemu关键代码进行了分析
Tigress学习系列【1】(安装与排错)
qq_42308741的博客
03-31 858
1 压 已下载好Tigress包,,包名为“tigress-3.1-bin.zip”,此处我将其放置的目录为"tigress-3.1-bin.zip",然后压此包。 unzip tigress-3.1-bin.zip 压成功后,目录结构为: root     -tigress-3.1-bin.zip     -tigress         
代码混淆——Virtualize+Jit
qq_41555552的博客
11-23 572
Virtualize Tigress官网virtualize 虚拟化指的是用不同的释器去执行一个程序里不同部分的代码。具体的原理这篇博客讲的特别好。 总结一下,通过Virtualize变换后的源代码中有以下几个部分。 virtual instruction set bytecode array virtual program counter virtual stack pointer disp...
[转载]代码虚拟化
coder
12-10 5424
Author:chong_xx@sina.com 0x00 什么是代码虚拟化 虚拟化实际上我认为就是使用一套自定义的字节码来替换掉程序中原有的native指令,而字节码在执行的时候又由程序中的释器来释执行。自定义的字节码是只有释器才能识别的,所以一般的工具是无法识别我们自定义的字节码,也是因为这一点,基于虚拟机的保护相对其他保护而言要更加难破。但是释器一般都是native代码
编译与代码安全之认识(二):Source2Source源码混淆方法
雪一梦的博客
05-15 1565
一、说明: 针对源码混淆其实在代码保护中应用很多,大部分是应用在像JS这种脚本语言中,因为很多时候JS是以源码的形式出现,网上有很多关于JS保护的工具,比较出名的是JSugly和javascript obfuscator。 当然最近发现了一个做JS VM保护的,https://www.v2ex.com/t/552383#reply33,很感兴趣,之前研究过这种...
代码虚拟化的大致过程---图 [ 转 ]
FadeTrack
10-30 2265
借它一张图。
改进的控制流混淆技术:抵抗静态分析的代码保护策略
该研究的创新之处在于,它不仅提高了代码混淆的复杂度,还考虑了实际应用中的性能因素。通过这种方式,研究人员能够在不牺牲程序执行效率的前提下,有效抵御逆向工程攻击。这对于保护软件知识产权和用户数据安全具有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

劳治亮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值