VM分析還原插件

VM分析還原插件是一個(gè)以可執(zhí)行文件作為輸入，反編譯出高等級(jí)源代碼的程序。VM分析還原插件是編譯器的反向過(guò)程，編譯器把高級(jí)源代碼編譯成可執(zhí)行文件。

說(shuō)明介紹

反編譯器通常不能完美的重現(xiàn)源代碼，也不能很好的處理混淆代碼。至少，反匯編器是計(jì)算機(jī)軟件逆向工程中非常重要的工具。

“反編譯器”通常的解釋為：一個(gè)可以將可執(zhí)行文件轉(zhuǎn)換成高級(jí)語(yǔ)言源代碼的程序，當(dāng)重新編譯后，組建出的可執(zhí)行程序的行為和原始的可執(zhí)行程序一樣。對(duì)比，反匯編器把可執(zhí)行文件轉(zhuǎn)換成匯編語(yǔ)言，而匯編器把匯編語(yǔ)言編譯成可執(zhí)行程序。

反編譯過(guò)程就是使用的反編譯器的過(guò)程，從反編譯器的字面意思可以看出。它可以用在復(fù)原遺失的源代碼，在計(jì)算機(jī)安全，協(xié)同工作，錯(cuò)誤糾正方面也是很有用的。反編譯過(guò)程的關(guān)鍵在于反編譯出的代碼信息和分析報(bào)告。字節(jié)碼格式被用在許多的虛擬機(jī)中（例如Java虛擬機(jī)和.NET Framework Common Language Runtime）通常包含了廣泛的元數(shù)據(jù)和高級(jí)語(yǔ)言規(guī)則，使得反編譯過(guò)程成為可行的。調(diào)試數(shù)據(jù)的出現(xiàn)使反編譯出原始變量，結(jié)構(gòu)體，甚至行號(hào)成為可能。機(jī)器語(yǔ)言如果沒(méi)有元數(shù)據(jù)和調(diào)試數(shù)據(jù)，就會(huì)使反編譯變的非常困難。

 一些編譯器和編譯器組件可以生成混淆代碼（這樣生成的代碼會(huì)使反編譯變得更加困難）。這樣會(huì)給逆向帶來(lái)難度。

功能特點(diǎn)

我們的工作

自從匯編級(jí)代碼混淆和代碼虛擬化的出現(xiàn)，給軟件分析帶來(lái)了很大的困難，我們的工作就是使這類代碼的分析變得簡(jiǎn)單。

我們的產(chǎn)品

現(xiàn)在，我們提供了一款可以分析一類匯編級(jí)虛擬化代碼的組件。為了使用更加方便，我們將它接入調(diào)試器中。

xx_vm_release

vmp虛擬代碼分析還原插件，可以自動(dòng)化的分析由vmp保護(hù)的虛擬代碼，提供了包含豐富信息的日志文件，通過(guò)對(duì)日志偽代碼的分析，我們幾乎可以還原出原始指令。從而達(dá)到分析目的。目前我們已經(jīng)開(kāi)發(fā)出OllyDbg適用的插件，后續(xù)我們也會(huì)對(duì)接其他主流調(diào)試器。