代碼虛擬化的反混淆技術(shù)研究.pdf

1、為了對(duì)抗軟件逆向工程，當(dāng)前很多商業(yè)軟件中的敏感代碼都會(huì)被代碼虛擬保護(hù)技術(shù)保護(hù)起來。代碼保護(hù)技術(shù)會(huì)將程序的原始機(jī)器指令轉(zhuǎn)換成只有虛擬機(jī)才能解釋執(zhí)行的虛擬機(jī)字節(jié)碼，對(duì)于每個(gè)被保護(hù)的應(yīng)用程序而言，這些虛擬機(jī)字節(jié)碼和虛擬機(jī)都是唯一的。經(jīng)過虛擬化保護(hù)的程序的運(yùn)行開銷會(huì)增加，并且很難被維護(hù)和調(diào)試，因此代碼虛擬保護(hù)技術(shù)同樣可被惡意軟件用來逃脫殺毒軟件對(duì)其程序中惡意代碼的檢測。
　　本文中，我們對(duì)代碼虛擬化保護(hù)器做了一個(gè)深入的研究，提出一個(gè)可簡化

2、虛擬機(jī)代碼的通用反混淆方法。我們的方法首先從程序中精確地定位出字節(jié)碼的譯碼解釋流程，并將程序中嵌入的虛擬機(jī)劃分為若干處理函數(shù)，隨后將處理函數(shù)中與虛擬機(jī)的狀態(tài)更新相關(guān)的指令提取出來，對(duì)齊進(jìn)行優(yōu)化并翻譯成易讀的中間語言，便于逆向工程師進(jìn)行分析。
　　我們開發(fā)了一個(gè)叫“夜鶯”的二進(jìn)制翻譯工具，可自動(dòng)地對(duì)Intel x86和x64二進(jìn)制程序進(jìn)行反混淆。我們使用了三種不同的商業(yè)代碼混淆器對(duì)一組開源的反代碼混淆測試程序進(jìn)行混淆，結(jié)果顯示本文的