《代碼虛擬與自動化分析》一書由章立春編著,電子工業出版社2017年10月出版
基本介紹
- 書名:代碼虛擬與自動化分析
- 作者:章立
- ISBN:978-7-121-32076-7
- 頁數:332頁
- 定價:79.00元
- 出版社:電子工業出版社
- 出版時間:2017年10月出版
- 開本:16
內容提要
《代碼虛擬與自動化分析》主要分成3個部分討論代碼虛擬和自動化分析技術。第1部分主要討論代碼虛擬化技術的各種實現方法,並通過一些現有的代碼虛擬化技術套用案例引領讀者了解代碼虛擬化的技術基礎。第2部分主要介紹和討論代碼自動化分析技術,也就是對在第1部分中介紹的代碼虛擬化技術進行討論,利用虛擬化技術自身進行自動化分析,通過實際的代碼將自動化分析技術從理論變為實際的程式,提升讀者對自動化分析技術的理解和運用水平。第3部分使用自動化分析技術全面分析Winlicense和VMProtect保護系統,展示自動化分析技術,並通過實際的分析過程帶領讀者深入體會代碼虛擬化技術。
《代碼虛擬與自動化分析》適合信息安全領域相關人員、高校相關專業學生及愛好者閱讀。
目錄
第1部分 實現原理
第1章 代碼虛擬化原理 2
1.1 代碼虛擬機運行時框架 3
1.1.1 流程控制指令 6
1.1.2 入口代碼 6
1.1.3 解碼執行器 7
1.1.4 出口代碼 8
1.2 代碼虛擬機非運行時部件 8
1.2.1 解碼器 9
1.2.2 虛擬化媒介編碼器 10
1.2.3 運行時部件 10
1.2.4 運行時部件生成器 10
1.2.5 原始程式處理器 11
1.3 本章小結 11
第2章 模擬虛擬化 12
2.1 Bochs簡單分析 12
2.1.1 模擬CPU對象 13
2.1.2 解碼器 15
2.1.3 解碼執行器 16
2.1.4 OP代碼分支 17
2.2 模擬虛擬化特徵 19
2.3 實現模擬虛擬化樣機 19
2.3.1 模擬目標設定 19
2.3.2 技術方案 20
2.3.3 原程式處理器 21
2.3.4 運行時部件 24
2.4 本章小結 28
第3章 自動化分析原理 29
3.1 代碼等價替換 29
3.2 垃圾指令生成 32
3.3 代碼亂序 33
3.4 多分支跳轉 34
3.5 自動化分析基礎 34
3.5.1 代碼等價替換技術 35
3.5.2 垃圾指令生成及清除 35
3.5.3 代碼亂序處理 35
3.5.4 多分支跳轉及清除 36
3.5.5 代碼虛擬機技術 36
第4章 花型替換分析 37
4.1 定義花型 38
4.2 匹配花型 40
4.3 實施花型替換 42
4.4 打造花型替換機 42
4.4.1 功能制定 43
4.4.2 確定技術方案 43
4.4.3 開發籌備 44
4.4.4 具體實現 44
4.4.5 效果演示 70
第2部分 技術分析
第5章 打造自動化分析工具 74
5.1 功能制定 74
5.2 確定技術方案 75
5.3 開發籌備 76
5.4 具體實現 77
5.4.1 實時代碼虛擬機 77
5.4.2 代碼執行記錄 89
5.4.3 C語言腳本即時編譯 95
5.4.4 代碼實時監控執行 103
5.4.5 高級調試功能 106
5.4.6 調試界面改造 106
5.4.7 斷點增強 112
5.4.8 代碼回溯 113
5.4.9 預執行 114
5.4.10 實時代碼塊記錄 114
5.4.11 腳本化增強調試 117
5.4.12 代碼DNA功能 123
5.5 效果演示 127
第6章 代碼虛擬機結構分析 129
6.1 虛擬機類型鑑別 129
6.2 OP分支跳轉 132
6.3 OP分支探測 134
6.4 虛擬機棧 145
6.5 虛擬機Context 149
6.6 OPCODE編碼 152
6.7 虛擬機出口 156
6.8 本章小結 162
第7章 OP分支功能性分析 163
7.1 統計分析法 163
7.2 棧平衡簡化分析法 165
7.3 不精確花型替換分析法 170
7.4 記憶體狀態著色分析法 173
7.5 記憶體訪問定位分析法 184
7.6 本章小結 187
第8章 對比測試分析 188
8.1 一般代碼對比分析法 188
8.2 OP分支執行對比分析法 194
8.3 記憶體訪問記錄對比分析法 201
8.4 嚴格現場對比分析法 202
8.5 本章小結 205
第9章 實時監控分析 206
9.1 一般代碼實時監控分析法 206
9.2 Context實時監控分析法 211
9.3 記憶體狀態實時同步監控分析法 216
9.4 塊執行實時監控分析法 225
9.5 本章小結 230
第10章 OP實時調試分析 231
10.1 虛擬OP實時調試 231
10.2 直接OP實時調試 234
10.3 OP實時調試演示 237
10.4 本章小結 241
第3部分 實例分析
第11章 Winlicense 2.3.2分析 244
11.1 加密流程分析 245
11.1.1 Winlicense主體框架 245
11.1.2 Shell代碼生成 249
11.2 Winlicense加密技術 252
11.3 代碼變形分析 256
11.4 代碼虛擬機分析 260
11.4.1 代碼虛擬機生成 260
11.4.2 FISH代碼虛擬機 267
11.4.3 TIGER代碼虛擬機 272
11.4.4 PUMA代碼虛擬機 274
11.4.5 SHARK代碼虛擬機 276
11.4.6 小結 278
11.5 OPCODE補丁 278
11.6 代碼還原 282
11.7 本章小結 286
第12章 VMProtect分析 287
12.1 代碼變形分析 287
12.2 OP分支DNA 289
12.3 OPCODE補丁 291
12.4 代碼還原 302
12.5 本章小結 305
第13章 xVMDebug外掛程式 306
13.1 xVMDebug介紹 306
13.2 運行環境 306
13.3 檔案結構 306
13.4 外掛程式安裝 306
13.5 主要功能簡介 307
13.5.1 調試功能 307
13.5.2 腳本功能 309
13.5.3 函式監視功能 310
13.5.4 偽調試功能 311
13.5.5 遠端IDA功能 311
13.5.6 模組注入功能 312
13.6 操作說明 313
13.6.1 選項設定視窗 313
13.6.2 增強界面視窗 315
13.6.3 塊執行管理視窗 318
13.6.4 CALL記錄視窗 320
13.6.5 ASM視窗選單 322
13.6.6 DUMP視窗選單 322
