像Code Virtualizer和VMProtect这样的VM加壳程序似乎对现有的逆向工程工作提出了挑战,尤其是像IDA Pro这样的静态方法。

根据此幻灯片
来自Hex-ray的产品/ida/support/ppt/caro_obfuscation.ppt

,IDA Pro要求经验丰富的逆向工程师手动识别操作码数组并理解语义,然后解码字节码数组。 />
我自己使用IDA Pro使用Code Virtualizer处理简单的quicksort程序,我可以共享两张照片。



看,我使用Code保护该部分的虚拟化程序和IDA Pro不能使用0X599050h。



请参见,重定位部分的大小有了显着增长。

所以我的问题:


IDA Pro可以自动处理VM混淆的二进制文件吗?
谢谢!

#1 楼

关于问题#1,没有IDA不能处理混淆的二进制文件。

您可能对Jason Raber去年在Blackhat上发表的Virtual Deofbuscator演讲感兴趣,他还发布了IDA插件,并且源代码可用。


幻灯片:
https://media.blackhat.com/us-13/US-13-Raber-Virtual-Deobfuscator-A-DARPA-Cyber​​-Fast -Track-Funded-Effort-Slides.pdf

视频:https://www.youtube.com/watch?v=hoda99l5y_g
源代码:
https:// github.com/jnraber/VirtualDeobfuscator



评论


是的,我看过这张幻灯片。无论如何,谢谢!

– lllllllllllll
2014年3月26日在17:02