虚拟机保护技术是基于x86汇编系统的可执行代码转换为字节码指令系统的代码,以达到保护原有指令不被轻易逆向和篡改的目的。
字节码(Byte-code)是一种包含执行程序,由一序列 op 代码/数据对组成的 ,是一种中间码。字节是电脑里的数据量单位。
虚拟机保护原理
虚拟机保护技术是基于x86汇编系统的可执行代码转换为字节码指令系统的代码,以达到保护原有指令不被轻易逆向和篡改的目的。
字节码是由指令执行系统定义的一套指令和数据组成的一串数据流
虚拟机执行时,VStartVM部分初始化虚拟机,VMDispatcher调度这些Handler。
如果将其看成一个CPU,字节码就是CPU中执行的二进制代码。
指令分类
按功能分为普通指令,栈指令,流指令,不可模拟指令4类
不可模拟指令就是无法再次模拟的指令,int3,sysenter,in,out
启动框架和调用约定
调度器
VStartVM将真实环境压入栈后会生成VMDispatcher的标签,当Handler执行完毕之后跳回到这里,形成一个循环,所以VStartVM也叫作“dispatcher”
esi指向字节码的起始地址,ebp指向VM栈顶,edi指向VMContext
Handler
不是Windows中的句柄,而是一段小程序或者一段过程
是由VM中的调度器来调用的
- 辅助Handler(执行一些重要的,基本的指令)
- 普通Handler(执行普通的x86指令)
辅助Handler主要是处理栈的Handler
未完待续
