Handler混淆增强的虚拟机保护方法

按照一定顺序执行虚拟指令处理函数(Handler)可完成程序关键代码的保护,其为软件逆向分析者攻击的重点对象。针对"动态提取,静态分析"的Handler攻击方法,提出一种基于Handler混淆增强的虚拟机保护方法。运用等价指令替换规则生成多种等价Handler序列,对所有Handler进行变长切分和随机乱序,通过构建跳转表对乱序序列进行重组,构建随机地址数组对Handler调度地址表和执行跳转表进行隐藏。实验和分析表明:多样化Handler生成、切分和乱序增加了动态提取和分析的难度,Handler地址表和跳转表的隐藏增加了抵御静态逆向分析的难度,从而提升了虚拟机保护强度。

基于动态数据流分析的虚拟机保护破解技术

由于虚拟机采用虚拟化技术和代码混淆技术,采用传统的逆向分析方法还原被虚拟机保护的算法时存在较大困难。为此,提出一种基于动态数据流分析的虚拟机保护破解方法。以动态二进制插桩平台Pin作为支撑,跟踪记录被虚拟机保护的算法在动态执行过程中的数据流信息,对记录的数据流信息进行整理分析,获取虚拟机指令的解释执行轨迹,还原程序的控制流图,根据轨迹信息对数据生成过程进行分层次、分阶段还原,并由分析人员结合控制流图和数据生成过程进行算法重构。实验结果证明,该方法能够正确还原程序的控制流和数据生成过程,辅助分析人员完成被保护算法的重构。

基于图变换的虚拟机保护增强方法

针对虚拟机框架不同模块连接之间的强固定性,提出一种基于图变换的虚拟机保护增强方法;首先将虚拟机结构框图转换为有向完全图,然后运用多重等价变换策略对完全图中节点模块进行等价变形,最后运用多样化虚拟机对不同节点模块进行嵌套保护;采用了混沌不透明谓词,跳转表和指令等价规则等关键技术实现了原型系统,通过实验验证了系统的可行性和方法的有效性。

一种基于多维防御混合策略的虚拟机保护安全性增强方法

针对虚拟机模块连接安全性较弱的问题,提出一种多维防御混合的虚拟机保护安全性增强方法。首先融合ROP、指令重叠和指令自修改技术对虚拟机框架模块连接指令序列进行隐蔽性混淆,然后运用基于多样化和随机化技术构造的混淆指令网络提升指令序列复杂性,最后采用哨兵集和三线程保护技术完成模块连接指令序列的防篡改。采用了不透明谓词,随机选择函数,指令等价替换和代码数据转换等关键技术实现了原型系统,并通过实验验证了方法的可行性和有效性。

一种基于增强型调度器的虚拟机软件保护方法

考虑到现有虚拟机的软件保护方法一般是通过改进虚拟指令处理函数(Handler)来提升保护强度,而调度器(Dispatcher)是除了Handler之外构成虚拟机保护框架的重要模块,为逆向分析者的重点攻击目标。针对Dispatcher模块易受静动态逆向攻击的问题,提出一种基于增强型Dispatcher的虚拟机软件保护方法。对Dispatcher模块中的指令序列进行多样化,切分所有指令序列。随机选择不同的指令片段进行控制流迭代混淆和加密。采用随机函数对指令片段进行连接,形成新的Dispatcher模块。实验表明,该方法在给受保护程序引入部分时间和空间开销下,能有效提升整体虚拟机保护框架的安全性。

虚拟机软件保护技术综述

在软件的分发过程中,要考虑针对软件的静态和动态分析.虚拟机软件保护作为代码混淆的延伸发展,为抵御MATE攻击提供了可能性,囿于目前该领域综述性文章空白的现状,对该问题进行综述整理.首先指出了现有虚拟机保护发展中存在的问题,然后介绍了虚拟机软件保护的结构,同时引述相关文章对其安全性进行分析和总结,并对未来的研究方向进行了展望.

基于精简指令集的软件保护虚拟机技术研究与实现

针对软件知识产权与版权保护需求,对多样性技术和基于虚拟机的软件保护技术进行分析和研究,设计了一种基于寄存器的精简指令集软件保护虚拟机SPVM,并实现了一个具有高强度和扩展性的防逆向工程和篡改、防止核心算法破解和防盗版的软件保护虚拟机系统VMDefender.通过采用多样性和虚拟机等技术,最终实现了防止软件盗版和对软件机密信息以及软件核心技术的保护.

一种基于虚拟机Handler动态加解密的软件保护方法及实现

考虑到Handler序列为逆向分析者的重点攻击对象。针对Handler指令序列的内存转储分析以及起始和终止点的断点分析,提出一种基于虚拟机Handler动态加解密的软件保护方法,在基于虚拟机的软件保护方法上,增加加密和解密代码模块,并将所有Handler进行加密保存。当程序执行到某个Handler时,先将加密过的Handler进行解密并执行,执行完成后再次对其进行加密,直到所有Handler序列执行结束。实验和分析表明:该方法能够有效防止攻击者对于Handler的起始和终止位置进行断点调试分析和内存转储分析。

基于三位一体协同的虚拟机隔离保护方案

针对基于虚拟机(virtual machine, VM)保护框架的代码隔离技术中所存在的单一隔离环境安全问题,提出一种三位一体协同虚拟机保护方案。基于Mealy自动机对核心代码和关键数据进行混淆转换,采用虚拟机框架进行保护,将关键数据和核心代码迁移至第三方安全环境,最后结合篡改恢复和自毁技术构建本地软硬件和远程云端三位一体协同保护方案,构建了模拟系统,并基于测试保护程序验证了该保护方案的有效性和可行性。

一种基于模糊聚类的软件保护虚拟机攻击方案

软件保护虚拟机采用了虚拟化的技术来对程序进行膨胀处理,如果采用传统的在OllyDbg中单步执行来对程序进行逆向的话,费时费力。本文提出一种基于软件模糊聚类思想的软件保护攻击方案。首先编写OllyScript脚本,记录被保护程序关键段的执行指令状态,分析指令并提取句柄,提取句柄的代码特征,引入模糊聚类算法,用FCM算法对提取到的句柄按照特征值进行归类,从而方便对程序进行进一步分析。实验结果表明该方案可以很大程度上对算法进行有效归类,对进一步分析软件保护虚拟机有很大的帮助。

一种结合混淆思想的代码虚拟化保护方法

为了提高虚拟机软件保护方法的抗逆向效果,研究并实现了保护系统OB-VMP(obscure virtual machine protection)。在OB-VMP中,多套虚拟机环境被随机选择来执行构造的混淆基本块和关键代码,私有的虚拟环境使得混淆基本块难以去除;同时混淆基本块让攻击者难以定位关键代码和关键代码所基于的虚拟环境,提高了虚拟机的保护效果。另外,在被保护代码的不同执行阶段,字节码和不同的虚拟指令映射,攻击者不能基于累积的字节码知识进行后续分析,进一步增加了OBVMP的抗逆向效果。理论分析和实验结果显示:OB-VMP能够在较小时空消耗基础上,显著提高逆向分析的难度,提高软件的安全性。

堆栈型虚拟机代码入口点定位方法研究

在采用虚拟化技术保护的程序中定位x86代码和虚拟机代码的临界点是实现被虚拟机保护代码自动化提取和还原的前提,目前尚不存在能有效实现虚拟机代码入口点定位的方法。针对该问题,构建一个程序状态转移模型,并在此模型的基础上,提出基于栈监控的自建栈型虚拟机代码入口点定位方法和基于寄存器值聚类分析的复用栈型虚拟机代码入口点定位方法,有效解决了虚拟机代码入口点的定位问题。实验结果表明,该方法能有效实现堆栈型虚拟机代码入口点的准确定位。

面向二进制代码的多线程虚拟化保护技术

目前对抗逆向分析最有效的手段为代码虚拟化技术,但是仍旧有许多攻击者通过知识累积、符号执行等手段对代码虚拟化技术进行逆向破解。设计并实现了Muti-Thread-Vmp原型系统。该系统利用多线程实现不同的虚拟化指令,从而让攻击者难以跟踪与分析,提高了代码虚拟化的保护效果。理论分析与实验结果表明,Muti-Thread-Vmp原型系统能够有效地提高攻击者分析的难度。

VMP虚拟指令逆向分析算法

针对现有虚拟机保护逆向分析集中式解释执行结构不适用于线索式解释执行,且虚拟机字节码序列隐含的控制流表现在解释例程相邻跳转关系上的问题,提出一种基于动态追踪记录和解释例程语义特征的虚拟机保护软件逆向分析算法。以动态二进制逆向调试作为支撑,跟踪记录被虚拟机保护的代码在动态执行过程中的指令执行轨迹信息,对记录的虚拟机动态执行轨迹信息进行聚类分析,识别虚拟机指令的动态解释执行例程,根据解释执行过程的语义特征分析还原动态解释例程的虚拟指令。测试结果表明,该算法能够正确还原虚拟机保护程序的虚拟指令,有效简化虚拟机保护过的程序,降低软件逆向分析难度。

增强型虚拟寄存器轮转算法

为了对抗基于数据流逆向分析的语义攻击,以虚拟寄存器为切入点,提出了一种增强型虚拟寄存器轮转算法。该算法通过在解释执行中随机打乱部分虚拟寄存器与操作数的虚拟编译映射关系,有效地增加了虚拟机在解释执行过程中的数据流复杂度;同时,随机采用3种机制对轮转长度进行设定,增强了虚拟机代码保护系统的多样性。最后,设计实现了采用增强型虚拟寄存器轮转算法的虚拟机代码保护原型系统,验证了该算法的有效性。

基于指令交换的代码混淆方法

软件程序是按一定顺序排列的指令序列,指令的排列组合构成了千变万化的程序语义.指令顺序重排通常会相应地导致程序语义的变化,通过分析相邻指令序列的相对独立性,可以在不影响程序语义的前提下交换相邻指令序列,增大指令距离,改变程序特征,在一定程度上增加逆向分析代价.通过改进程序的形式化定义论证相邻指令交换的充分条件,采用模拟退火算法实现随机化的指令乱序混淆方法,并将指令乱序方法与虚拟机代码保护技术融合,实现基于指令乱序的虚拟机代码保护系统IS-VMP,使用加密算法实例进行系统测试,验证了指令乱序混淆算法的可行性与有效性.

The Study of a New Manipulator for a Stone Protector of Stony Soil Tillage Implement

This paper studies the motion of novel manipulator that can be used in the structure of stone protectors of soil tillage implements. According to the virtual reality technology-based method the technology of composition of the virtual model of a manipulator and its positions in the working process are described in details. This virtual model is used for composition the video clip, simulating the motion of novel manipulator, which three points are moving along two lines and one curve. The results obtained and the computer program realizing the virtual reality technology-based study of the working process of the virtual manipulators for stone protectors can be used by designers of stone protectors for soil tillage implements.