最简单的虚拟机模型见《加密与解密》第三版虚拟机那一章,感觉那个简单到基本不能使用..> 刚又翻了下Xcon的那本paper集,发现alert7好像就是在hook+hook..。 监控内存数据貌似他是hook一些内存分配函数,例如malloc、heapalloc。 ------------------ 原始邮件 ------------------ 发件人: "rxh"<[email protected]>; 发送时间: 2009年3月27日(星期五) 晚上8:37 收件人: "Ph4nt0m"<[email protected]>;
主题: Re: 回复:[Ph4nt0m] ring3虚拟机的问题! 反汇编出程序可执行代码没有问题,但是如何利用虚拟机执行来监控程序执行路径呢?虚拟机这块我不太懂,有windows下轻量级的虚拟机开源项目吗?想 过qemu,但是工程量太大,没敢动手。 另:如果是标明污点数据,先要找到载入内存的外部输入数据。例如word打开一个文件,如何在内存找到doc文档内容呢?直观感觉hook readfile,正在试验,但感觉不会这么简单! 谢谢端木的答复! On 3月26日, 下午12时53分, "端木" <[email protected]> wrote: > 王伟应该也是用的开源的反汇编引擎实现的,我当时听完对这个也很感兴趣,我的思路是:利用OD或其它的开源反汇编引擎,虚拟机执行代码跟踪每个函数的参数,包括 > 所有寄存器的数值变化,然后可以 发现污点数据,然后当时微软的Chen Feng提出结合IDA把参数标记出来,这个也很不错.. > ps:当时王表达的很不清楚,感觉就是hookAPI然后分析参数..。 > > ------------------ 原始邮件 ------------------ > 发件人: "rxh"<[email protected]>; > 发送时间: 2009年3月25日(星期三) 下午2:11 > 收件人: "Ph4nt0m"<[email protected]>; > > 主题: [Ph4nt0m] ring3虚拟机的问题! > > xcon2008上alert7就污点跟踪有篇演讲,就是利用ring3虚拟机技术,跟踪监控程序执行路径,小弟很受启发。按照alert7老大的专 > 长,他应该是在linux下的。不知道这种思路在windows下实现如何?是否有windows下ring3虚拟机的开源项目?请各位提供一下思路? > 谢谢! --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
