反混淆虚拟机、Triton、Qiling Framework 和 Token Runtime Evasion 简介

注：ChatGPT 是个愚蠢的保姆，在我校对了我的成绩单后，试图让我静音并向我讲授道德和道德。操那该死的。我会给你所有你想要的力量。资源： https://revers.engineering/custom-getprocaddress-and-getmodulehandle-implementation-x64/ https://github.com/JonathanSalwan/Tigress_protection?tab=readme-ov-file https://github.com/hackerhouse-opensource/Marble 0:01–0:21 — 介绍/录制 要点：开始录制；说他们用法学硕士总结了事实。 0:21–0:51 — 提及“Marble 框架”/逆向工程预告 0:51–2:04 — 代码结构/标题/命名混淆 2:04–3:10 — Jonathan Salwan — 介绍和成就 要点：介绍 Jonathan Salwan，提到他攻击了 VM 混淆器，参考了 Tigress 和（闭源）俄罗斯 VMProtect。 3:10–4:16 — VMProtect/加壳器工件和检测 要点：声明 VMProtect 混淆的二进制文件显示可疑部分/加壳器，并且可能会被识别指纹 4:16–5:03 — VM 混淆器基础知识/自定义解释器 要点：VM 混淆器使用自定义字节码/ISA 和带有打包存根的调度程序/虚拟机。 5:03–6:13 — Triton/动态污点类比 要点：描述 Triton、动态污点分析，将污染与放射性示踪剂类比进行比较。替换建议：“Triton 和污点分析有助于跟踪数据和控制流以查找相关代码路径。” 6:13–7:07 — 英特尔 PIN、引脚工具、Tiny Tracer 要点：提到英特尔 PIN（检测）、引脚工具作为 DLL 注入以跟踪 API 调用；参考Tiny Tracer。 7:07–9:12 — DBI 框架和 DSE / SMT 求解器入门 要点：提及 DynamoRio、DBI、动态符号执行 (DSE)、污染、指导分支探索的 SMT 求解器。 9:12–11:00 — Jonathan Salwan 的研究/语义与助记符 要点：讨论一篇关于保护知识产权的论文；定义语义与助记符（符号与含义）。 11:00–13:00 — 符号/含义示例、AST 要点：粗略代码示例、指针/结构、AST 工作的含义与符号映射。替换建议：“AST 将符号映射到它们的语义；反混淆寻求等效的语义。” 13:00–15:04 — 语义图/调度程序/字节码类比 要点：将 VM 字节码与 Java 或 .NET 解释器进行比较；调度程序将操作码解码为处理程序。 15:04–17:19 — 原始 VM 调度程序/指令大小/简单 VM 示例 要点：展示具有 32 位指令的简单 VM，添加/移动/乘法/返回； VPC（虚拟程序计数器）概念。 17:19–19:28 — 向后切片/相关指令/重复执行 要点：向后切片有助于消除不相关（无关）指令；需要执行许多次来识别相关路径。 19:28–20:26 — 中间语言 (IL) 和重建 要点：您将获得一个对 VM 进行建模的 IL（不可直接编译）；重建为可读的代码。 20:26–21:20 — Qiling/Qiling 提及/工具安装评论 要点：提及 Qiling 比 Triton 更容易；安装评论。 21:20–25:10 — 令牌、隐藏令牌、寄存器 (XMM/MM) aWindsocknd 调用约定 要点：定义令牌概念（用于指纹行为的值）、声明在 XMM/MM 寄存器中隐藏令牌，并列出用于类似 VirtualAlloc 的调用 (RCX/RDX/R8/R9) 的 Windows x64 参数寄存器。替换建议：“令牌（标识符/返回值）可以在运行时进行混淆；调用约定将早期参数放置在 x64 上的寄存器中（Windows：RCX、RDX、R8、R9）。” 25:10–27:19 — 序言/尾声和 shellcode 保存 要点：Shellcode 一般使用序言/尾声来保存/恢复寄存器并避免崩溃。 27:19–29:17 — 自定义 getprocaddress/getmodulehandle 示例/PEB 解析 要点：提到通过解析 PEB/TEB 来查找模块/函数来逆向 GetModuleHandle/GetProcAddress 实现。 29:17–33:34 — 自定义 API 重建/转储和重新创建、调试器工作流程 要点：描述单步进入 LoadLibrary/GetProc、转储函数内存以及重新创建用户态版本以避免导入；警告复杂性（Unicode 变体等）33:34–35:17 — 建议：Winsock TCP 与 WinHTTP；结束建议。