64,663
社区成员
发帖
与我相关
我的任务
分享了解VMProtect保护机制的大牛请进
问题一:
他变异和虚拟化有什么作用
问题2.
VMProtectEnd(void);
//检测调试
BOOL VMProtectIsDebuggerPresent(BOOL);
//检测虚拟机
BOOL VMProtectIsVirtualMachinePresent(void);
//映像文件CRC校验
BOOL VMProtectIsValidImageCRC(void);
这4句代码分别是什么原理,我们应该如何利用它来保护我们的程序
他变异和虚拟化有什么作用
问题2.
VMProtectEnd(void);
//检测调试
BOOL VMProtectIsDebuggerPresent(BOOL);
//检测虚拟机
BOOL VMProtectIsVirtualMachinePresent(void);
//映像文件CRC校验
BOOL VMProtectIsValidImageCRC(void);
这4句代码分别是什么原理,我们应该如何利用它来保护我们的程序
...全文
请发表友善的回复…
发表回复
RLib 2012-01-27
- 打赏
- 举报
[Quote=引用楼主 hyccs 的回复:]
变异.
处理器指令级的可执行文件修改(修改已存在的指令,添加垃圾指令等)。这种编译类型的保护能力很弱,主要用于阻止基于特征码的分析工具(例如 PEiD+KANAL, IDA+FLIRT 等)探测函数功能。通常,没有必要保护库函数,修改它们的特征标识无法被自动测定您所使用的库文件已经足够了(反编译和反破解保护能力弱,代码执行效率高)。
虚拟.
可执行文件的代码被转换成虚拟机执行的字节码,这种编译类型应该应用在所有需要考虑运行效率的关键代码处(反编译和反破解保护能力中,代码执行效率中)。
超级(变异 + 虚拟).
处理器指令级的可执行文件修改后再转换为虚拟机执行的字节码,这种编译类型应该应用在所有不需要考虑运行效率的关键代码处(反编译和反破解保护能力强,代码执行效率低)。
[/Quote]
变异.
处理器指令级的可执行文件修改(修改已存在的指令,添加垃圾指令等)。这种编译类型的保护能力很弱,主要用于阻止基于特征码的分析工具(例如 PEiD+KANAL, IDA+FLIRT 等)探测函数功能。通常,没有必要保护库函数,修改它们的特征标识无法被自动测定您所使用的库文件已经足够了(反编译和反破解保护能力弱,代码执行效率高)。
虚拟.
可执行文件的代码被转换成虚拟机执行的字节码,这种编译类型应该应用在所有需要考虑运行效率的关键代码处(反编译和反破解保护能力中,代码执行效率中)。
超级(变异 + 虚拟).
处理器指令级的可执行文件修改后再转换为虚拟机执行的字节码,这种编译类型应该应用在所有不需要考虑运行效率的关键代码处(反编译和反破解保护能力强,代码执行效率低)。
[/Quote]
RLib 2012-01-27
- 打赏
- 举报
[Quote=引用楼主 hyccs 的回复:]
问题一:
他变异和虚拟化有什么作用
[/Quote]
VMProtect反汇编目标可执行程序的x86字节码并把它编译为可以在运行时通过一个通用的解释器执行的私有多态字节码,这种做法不同于传统的只是将x86字节码简单加密(and/or)压缩的打包观念,运用虚拟化技术,在保护区域的原始的x86字节码将无法被原样还原,加大保护强度,破解者想要还原出源代码几乎是不可能的。
[Quote=引用楼主 hyccs 的回复:]
问题2.
VMProtectEnd(void);
//检测调试
BOOL VMProtectIsDebuggerPresent(BOOL);
//检测虚拟机
BOOL VMProtectIsVirtualMachinePresent(void);
//映像文件CRC校验
BOOL VMProtectIsValidImageCRC(……
[/Quote]
1.SDK加密标识,VMProtect会自动识别出这些标识,并对有标识的地方实施保护.这里是结束。
2.检查是否有外部调试器.一般通过IsDebuggerPresent等API配合某些技术手段达到禁止调试的目的。
3.检查是否允许于虚拟机中.虚拟机检测技术剖析http://bbs.pediy.com/showthread.php?t=119969(不能保证VMP用的是此类方法)
4.检查文件CRC防止非法修改.百度一下,你就知道.
问题一:
他变异和虚拟化有什么作用
[/Quote]
VMProtect反汇编目标可执行程序的x86字节码并把它编译为可以在运行时通过一个通用的解释器执行的私有多态字节码,这种做法不同于传统的只是将x86字节码简单加密(and/or)压缩的打包观念,运用虚拟化技术,在保护区域的原始的x86字节码将无法被原样还原,加大保护强度,破解者想要还原出源代码几乎是不可能的。
[Quote=引用楼主 hyccs 的回复:]
问题2.
VMProtectEnd(void);
//检测调试
BOOL VMProtectIsDebuggerPresent(BOOL);
//检测虚拟机
BOOL VMProtectIsVirtualMachinePresent(void);
//映像文件CRC校验
BOOL VMProtectIsValidImageCRC(……
[/Quote]
1.SDK加密标识,VMProtect会自动识别出这些标识,并对有标识的地方实施保护.这里是结束。
2.检查是否有外部调试器.一般通过IsDebuggerPresent等API配合某些技术手段达到禁止调试的目的。
3.检查是否允许于虚拟机中.虚拟机检测技术剖析http://bbs.pediy.com/showthread.php?t=119969(不能保证VMP用的是此类方法)
4.检查文件CRC防止非法修改.百度一下,你就知道.
