vm demo加固分析

• 功能介绍

• demo编译以及静态分析

　　

 

　　

   

 

  vm函数的参数: x1->函数地址表  x2->自定义函数地址表 x3->操作码表获取偏移后的操作码

 

 

 

 

 

 

 

 

 

  

 

 

 

•  进行动态验证

   

 

  

  

 

 0xc5 对应的指令 ：位移+2

 

 

 

 

 0xde 对应的指令：位移+3

 

 

 0x65 对应的指令：

 

 

 

 

 0x62对应的指令：位移+2

 

 

 

 

 0xf3 对应的指令：位移加2

 

 

 

 

 0x95对应的指令：位移+3

 

 

 偏移量：

 

 

 

跳转函数计算

 

 

 

 

 跳转到对应的函数

 

 

 

 

 

• 规律总结

     总共模拟0xff（255个）指令：主要格式指令码+计算偏移量+位移。

 

    前面的各种模拟偏移计算不用管，主要在call时进行跳出，所以在所有的真正跳出函数地方下断进行跟踪

 

 

 

 

 

• 后续完善

 

手动完善255个指令的含义以及对应的偏移，模拟执行记录跳转的函数。