什么是虚拟机保护技术
****虚拟机概览
所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。
这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机vm(好似一个抽象的cpu)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。
将虚拟机应用到商业中的保护壳现有三款:vmprotect,themida和 execrypt。
**** 虚拟机架构
我们知道,代码中的指令多种多样,组织形式也千变万化;虚拟机不可能针对每一种具体情况都进行翻译处理。必须对所有可能遇到的指令先进行抽象归类,然后分解为若干简单的小指令,再交由各个专门的子程序(handler)去处理。
学过编译原理的同学应该都知道三元式代码吧,也叫做3地址代码(three adress code)。即不论多么复杂的赋值公式,都可以分解为数个3地址代码式序列。(什么是3地址代码,1段3地址代码只完成1次运算,譬如1次二目运算、1次比较,或者1次分支跳转运算。)
与此类似,不论多么复杂的指令,都可以分解为一串不可再分割的原子指令序列。
虚拟机(cpu)的体系架构可分为3种,基于堆栈的(stack based),基于寄存器的(register based)和3地址机器。我们只讲述基于堆栈的虚拟机架构(stack based);这种架构的虚拟机需要频繁操作堆栈,其使用的虚拟寄存器(虚拟的eax、ebx等等)保存在堆栈中;每个原子指令的handler都需要push、pop。
现在的cpu都有大量的寄存器,堆栈一般只是在函数传递参数时使用(譬如pc机用的x86系列cpu)。但也有一些cpu只操作内存,没有堆栈,也没有寄存器。使用这种cpu的机器称之为3地址机器。
基于堆栈的cpu或虚拟机没有临时变量、寄存器的概念,所有的东西都放入堆栈。由于指令中不需要指定操作数,所以其指令相对基于寄存器的要短。也因此相对简单,在嵌入式系统中运用较多。用于保护代码,我们也选择这种。
举例,譬如指令add,基于堆栈的cpu首先从堆栈里pop两个数,然后将两数相加,再把和push到堆栈。add指令只占用1个字节。而基于寄存器的cpu对应指令为 add reg1,reg2,需要3个字节。请仔细想象一下没有寄存器的cpu,它的指令是怎样的,该会是多么简洁。当然,指令简洁带来的缺点就是效率低下。
我们这里谈的虚拟机保护技术,就是把基于寄存器的cpu代码,改造成基于堆栈的cpu的伪代码。然后再由基于堆栈的虚拟机(cpu)对伪代码解释执行。
**** 指令系统
关键在于设计一个虚拟的基于堆栈的虚拟机(cpu)的指令系统。这个指令系统越简洁,复用性越高越好。
还是以add 指令为例。x86系列cpu的add指令有许多格式,譬如:add reg,imm 、add reg,reg、add reg,mem、add mem,reg等等。而基于堆栈的虚拟机cpu则没有这么多花样,就一个单单的add指令,参数和返回都是在堆栈里。
我们需要为我们的虚拟机cpu模拟实现这样的add命令:
而原有的add命令的参数,我们需要翻译为 push 命令 。根据push 的对象不同,需要不同的实现:
有push指令了,也得有pop指令:
基于堆栈的虚拟机指令系统就是这样简单的:单字节的动作指令(譬如add、dec),以及各式各样的push、pop等堆栈操作指令。没有复杂的寄存器与内存操作。我们需要把x86的cpu指令翻译成虚拟机cpu的指令,譬如:
call指令相对麻烦一点,因为call的函数未必是虚拟机的伪代码了。所以碰到call指令,就要退出虚拟机,交由真实的cpu去处理了。代码类似下面:
其余,要注意标志位的处理、不可模拟指令,以及指令的优化。还有异常处理,这里就不展开了。
vstartvm是虚拟机的入口,负责保存运行环境(各个寄存器的值)、以及初始化堆栈(虚拟机使用的变量全部在堆栈中)。
bytecode是伪代码;vmdispatcher对伪代码逐个阅读处理,然后分发给下面的各个子程序(handler)。
加壳程序先把已知的x86指令解释成了字节码,放在pe文件中,然后将原处代码删掉,改成类似的代码进入虚拟机执行循环。
vstartvm初始化后,堆栈情形如下:
edi指向vmcontext;esi指向伪代码的地址;ebp指向真实堆栈的栈顶; 这三个寄存器在vm内不要再改了。
vmcontext是虚拟机vm使用的虚拟环境结构:
vm之所以使用堆栈保存自己的寄存器结构,是考虑到多线程程序的兼容。
大家都知道脱壳时的堆栈平衡原理吧。同样的,虚拟机在执行翻译后的程序代码时,也不可以随便变动原来的堆栈地址。还需经常检查在堆栈中的vmcontext结构不被冲掉。
就是这么有质感:一图看懂搭载PowerVR GX6250华硕ZenPad 3s
存储赋能 杉岩数据助推政府数字化建设
电子催眠器,E-hypnosis
5g可以带来了哪些方便
5G小基站将迎规模部署,4G/5G协同是重点
什么是虚拟机保护技术
机器人焊接常见的缺陷及应对措施
英飞凌受邀成为中德智能制造联盟副理事长单位,共同助力智能制造产业发展
iphone8plus64G多少钱?
智能家居的模式该怎样来迭代
佘元博:机器学习在AMR中的应用价值
FPGA的下一代形态抢先看
2030年人工智能发展规划推动哪四个方面建设?
高可靠性键合金线-RelMax介绍
什么是卷积神经网络?基本结构是什么?有哪些应用领域?
国企数字化转型解决方案--PaaS平台基础能力篇
华为聘请巴西前总统担任顾问,以确保参与该国的5G市场
需求复苏 未来的冰箱市场值得期待
微雪电子USB集线器|USB HUB HAT简介
光纤位移传感器仿真
所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。
这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机vm(好似一个抽象的cpu)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。
将虚拟机应用到商业中的保护壳现有三款:vmprotect,themida和 execrypt。
**** 虚拟机架构
我们知道,代码中的指令多种多样,组织形式也千变万化;虚拟机不可能针对每一种具体情况都进行翻译处理。必须对所有可能遇到的指令先进行抽象归类,然后分解为若干简单的小指令,再交由各个专门的子程序(handler)去处理。
学过编译原理的同学应该都知道三元式代码吧,也叫做3地址代码(three adress code)。即不论多么复杂的赋值公式,都可以分解为数个3地址代码式序列。(什么是3地址代码,1段3地址代码只完成1次运算,譬如1次二目运算、1次比较,或者1次分支跳转运算。)
与此类似,不论多么复杂的指令,都可以分解为一串不可再分割的原子指令序列。
虚拟机(cpu)的体系架构可分为3种,基于堆栈的(stack based),基于寄存器的(register based)和3地址机器。我们只讲述基于堆栈的虚拟机架构(stack based);这种架构的虚拟机需要频繁操作堆栈,其使用的虚拟寄存器(虚拟的eax、ebx等等)保存在堆栈中;每个原子指令的handler都需要push、pop。
现在的cpu都有大量的寄存器,堆栈一般只是在函数传递参数时使用(譬如pc机用的x86系列cpu)。但也有一些cpu只操作内存,没有堆栈,也没有寄存器。使用这种cpu的机器称之为3地址机器。
基于堆栈的cpu或虚拟机没有临时变量、寄存器的概念,所有的东西都放入堆栈。由于指令中不需要指定操作数,所以其指令相对基于寄存器的要短。也因此相对简单,在嵌入式系统中运用较多。用于保护代码,我们也选择这种。
举例,譬如指令add,基于堆栈的cpu首先从堆栈里pop两个数,然后将两数相加,再把和push到堆栈。add指令只占用1个字节。而基于寄存器的cpu对应指令为 add reg1,reg2,需要3个字节。请仔细想象一下没有寄存器的cpu,它的指令是怎样的,该会是多么简洁。当然,指令简洁带来的缺点就是效率低下。
我们这里谈的虚拟机保护技术,就是把基于寄存器的cpu代码,改造成基于堆栈的cpu的伪代码。然后再由基于堆栈的虚拟机(cpu)对伪代码解释执行。
**** 指令系统
关键在于设计一个虚拟的基于堆栈的虚拟机(cpu)的指令系统。这个指令系统越简洁,复用性越高越好。
还是以add 指令为例。x86系列cpu的add指令有许多格式,譬如:add reg,imm 、add reg,reg、add reg,mem、add mem,reg等等。而基于堆栈的虚拟机cpu则没有这么多花样,就一个单单的add指令,参数和返回都是在堆栈里。
我们需要为我们的虚拟机cpu模拟实现这样的add命令:
而原有的add命令的参数,我们需要翻译为 push 命令 。根据push 的对象不同,需要不同的实现:
有push指令了,也得有pop指令:
基于堆栈的虚拟机指令系统就是这样简单的:单字节的动作指令(譬如add、dec),以及各式各样的push、pop等堆栈操作指令。没有复杂的寄存器与内存操作。我们需要把x86的cpu指令翻译成虚拟机cpu的指令,譬如:
call指令相对麻烦一点,因为call的函数未必是虚拟机的伪代码了。所以碰到call指令,就要退出虚拟机,交由真实的cpu去处理了。代码类似下面:
其余,要注意标志位的处理、不可模拟指令,以及指令的优化。还有异常处理,这里就不展开了。
vstartvm是虚拟机的入口,负责保存运行环境(各个寄存器的值)、以及初始化堆栈(虚拟机使用的变量全部在堆栈中)。
bytecode是伪代码;vmdispatcher对伪代码逐个阅读处理,然后分发给下面的各个子程序(handler)。
加壳程序先把已知的x86指令解释成了字节码,放在pe文件中,然后将原处代码删掉,改成类似的代码进入虚拟机执行循环。
vstartvm初始化后,堆栈情形如下:
edi指向vmcontext;esi指向伪代码的地址;ebp指向真实堆栈的栈顶; 这三个寄存器在vm内不要再改了。
vmcontext是虚拟机vm使用的虚拟环境结构:
vm之所以使用堆栈保存自己的寄存器结构,是考虑到多线程程序的兼容。
大家都知道脱壳时的堆栈平衡原理吧。同样的,虚拟机在执行翻译后的程序代码时,也不可以随便变动原来的堆栈地址。还需经常检查在堆栈中的vmcontext结构不被冲掉。
就是这么有质感:一图看懂搭载PowerVR GX6250华硕ZenPad 3s
存储赋能 杉岩数据助推政府数字化建设
电子催眠器,E-hypnosis
5g可以带来了哪些方便
5G小基站将迎规模部署,4G/5G协同是重点
什么是虚拟机保护技术
机器人焊接常见的缺陷及应对措施
英飞凌受邀成为中德智能制造联盟副理事长单位,共同助力智能制造产业发展
iphone8plus64G多少钱?
智能家居的模式该怎样来迭代
佘元博:机器学习在AMR中的应用价值
FPGA的下一代形态抢先看
2030年人工智能发展规划推动哪四个方面建设?
高可靠性键合金线-RelMax介绍
什么是卷积神经网络?基本结构是什么?有哪些应用领域?
国企数字化转型解决方案--PaaS平台基础能力篇
华为聘请巴西前总统担任顾问,以确保参与该国的5G市场
需求复苏 未来的冰箱市场值得期待
微雪电子USB集线器|USB HUB HAT简介
光纤位移传感器仿真