JQCTF2025 Customize Virtual Machine 逆向分析与解题教程<\/h1>

1. 题目概述<\/h2>
这是一个基于自定义虚拟机(VM)的逆向工程挑战，主要涉及自修改代码(SMC)和虚拟机逆向分析技术。题目要求参赛者解密并分析一段被混淆的代码，最终获取隐藏的flag。<\/p>

2. 题目核心逻辑<\/h2>

2.1 基本流程<\/h3>

输入一个长度为50的字符串作为flag<\/li>
将flag的每一位与长度为50的fun_list<\/code>对应位置的字节数组进行异或操作<\/li>
实现SMC(自修改代码)功能，解密函数<\/li>

使用自定义虚拟机执行解密后的opcode并调用这些函数<\/li>
<\/ol>
2.2 关键数据结构<\/h3>

fun_list<\/code>: 包含50个字节数组，每个数组对应flag的一个字符<\/li>
data[i]<\/code>: 对应第i个函数，内容是要参与异或的字节数据<\/li>
<\/ul>
3. 解题思路分析<\/h2>
3.1 SMC解密策略<\/h3>
由于题目使用SMC技术，我们需要通过以下特征来判断解密是否正确：<\/p>

合法函数特征<\/strong>：解密后的函数代码应该是有效的汇编指令<\/li>
非法指令排除<\/strong>：有效函数不应包含特定非法指令<\/li>
<\/ol>
3.2 非法指令列表<\/h3>
合法函数中通常不会<\/strong>包含以下指令（或极其罕见）：<\/p>



指令<\/th>
原因<\/th>
<\/tr>
<\/thead>


hlt<\/code><\/td>
中止CPU，常用于内核或异常终止<\/td>
<\/tr>

cli<\/code>, sti<\/code><\/td>
中断控制，通常为内核态指令<\/td>
<\/tr>

in<\/code>, out<\/code>, ins<\/code>, outs<\/code><\/td>
端口IO操作，只用于驱动程序或内核<\/td>
<\/tr>

lgdt<\/code>, lidt<\/code>, ltr<\/code>, lmsw<\/code>等<\/td>
修改全局或中断表，仅限系统级代码<\/td>
<\/tr>

rdmsr<\/code>, wrmsr<\/code>, rdtsc<\/code>等<\/td>
访问CPU特权寄存器，仅限特定应用<\/td>
<\/tr>

vm*<\/code>, svm*<\/code><\/td>
虚拟化指令，仅虚拟机\/Hypervisor使用<\/td>
<\/tr>

ud2<\/code><\/td>
故意制造非法指令，常用于崩溃测试或反调试<\/td>
<\/tr>

lock<\/code>前缀的原子指令<\/td>
除非是多线程同步函数<\/td>
<\/tr>
<\/tbody>
<\/table>
3.3 常见合法指令<\/h3>
解密后的函数可能包含以下常见指令：<\/p>

push<\/code>, pop<\/code><\/li>
mov<\/code><\/li>
sub<\/code>, add<\/code><\/li>
cmp<\/code>, test<\/code><\/li>
xor<\/code>, and<\/code>, or<\/code><\/li>
lea<\/code><\/li>
imul<\/code><\/li>
jmp<\/code>, jcc<\/code>条件跳转<\/li>
call<\/code>, ret<\/code><\/li>
<\/ul>
3.4 Flag格式限制<\/h3>
题目明确说明flag格式为：<\/p>

字符集：0-9<\/code>, a-z<\/code>和_<\/code><\/li>
长度：固定50个字符<\/li>
<\/ul>
4. 解题步骤详解<\/h2>
4.1 数据提取<\/h3>

从题目提供的文件中提取fun_list<\/code>数据<\/li>
确保每个data[i]<\/code>对应第i个函数，内容是要参与异或的字节<\/li>
<\/ol>
4.2 爆破策略<\/h3>
由于flag字符集有限且长度固定，可以采用逐字符爆破的方法：<\/p>

对每个位置i (0 ≤ i < 50)<\/li>
尝试所有可能的字符c (0-9, a-z, _)<\/li>
用c与fun_list[i]<\/code>进行异或解密<\/li>
检查解密结果是否为合法汇编代码<\/li>
<\/ol>
4.3 使用Capstone反汇编引擎<\/h3>
Capstone是一个强大的反汇编框架，可用于验证解密后的代码是否合法：<\/p>
from<\/span> capstone import<\/span> *<\/span>
<\/span><\/span>
<\/span><\/span># 初始化Capstone引擎<\/span>
<\/span><\/span>md =<\/span> Cs(CS_ARCH_X86, CS_MODE_32)
<\/span><\/span>
<\/span><\/span># 对解密后的字节进行反汇编<\/span>
<\/span><\/span>for<\/span> i in<\/span> md.<\/span>disasm(decrypted_bytes, 0x1000<\/span>):
<\/span><\/span>    print("0x<\/span>%x<\/span>:<\/span>\t<\/span>%s<\/span>\t<\/span>%s<\/span>"<\/span> %<\/span> (i.<\/span>address, i.<\/span>mnemonic, i.<\/span>op_str))
<\/span><\/span><\/code><\/pre>4.4 爆破代码实现<\/h3>
关键步骤：<\/p>

遍历每个flag位置<\/li>
尝试所有可能的字符<\/li>
解密并反汇编<\/li>
检查第一条指令是否合法<\/li>
记录所有可能的候选字符<\/li>
<\/ol>
def<\/span> brute_force_char<\/span>(pos):
<\/span><\/span>    possible_chars =<\/span> []
<\/span><\/span>    for<\/span> c in<\/span> ALLOWED_CHARS:  # 0-9a-z_<\/span>
<\/span><\/span>        decrypted =<\/span> xor(fun_list[pos], ord(c))
<\/span><\/span>        # 使用Capstone反汇编第一条指令<\/span>
<\/span><\/span>        instr =<\/span> next(md.<\/span>disasm(decrypted[:15<\/span>], 0<\/span>), None<\/span>)
<\/span><\/span>        if<\/span> instr and<\/span> is_valid_instruction(instr):
<\/span><\/span>            possible_chars.<\/span>append(c)
<\/span><\/span>    return<\/span> possible_chars
<\/span><\/span><\/code><\/pre>4.5 特殊处理<\/h3>
题目提示：<\/p>

前15个函数都是全部解密<\/li>
后35个函数留了最后一个字节未修改（可能是ret<\/code>指令，0xC3）<\/li>
<\/ul>
因此可以推测：<\/p>

最后一个字节异或0xC3<\/code>可以得到flag对应位置的字符<\/li>
<\/ul>
5. 工具与技术<\/h2>
5.1 Capstone反汇编引擎<\/h3>
Capstone是一个轻量级、多平台、多架构的反汇编框架：<\/p>

官网: https:\/\/github.com\/aquynh\/capstone<\/li>
支持架构: Arm, Arm64 (AArch64\/Armv8), Mips, PPC, Sparc, SystemZ, XCore, X86 (包括X86-64)<\/li>
绑定语言: C\/C++, Python, Java, Go等<\/li>
<\/ul>
安装方法：<\/p>
pip install capstone
<\/span><\/span><\/code><\/pre>5.2 其他技巧<\/h3>

指令长度分析<\/strong>：通过观察解密后代码的指令长度分布辅助判断<\/li>
函数序言分析<\/strong>：合法函数通常以push ebp; mov ebp, esp<\/code>开头<\/li>
交叉验证<\/strong>：对多个候选字符的解密结果进行比较，选择最合理的<\/li>
<\/ol>
6. 完整解题流程<\/h2>

提取fun_list<\/code>数据<\/li>
对每个位置进行字符爆破：

前15个位置：完整解密并验证<\/li>
后35个位置：假设最后一个字节是ret<\/code>(0xC3)<\/li>
<\/ul>
<\/li>
组合所有位置的解得到完整flag<\/li>
验证flag的正确性<\/li>
<\/ol>
7. 经验总结<\/h2>

SMC分析<\/strong>：理解自修改代码的工作原理是关键<\/li>
指令特征<\/strong>：掌握合法与非法指令的区别能大幅提高效率<\/li>
工具使用<\/strong>：熟练使用反汇编工具如Capstone是逆向工程的基础<\/li>
爆破策略<\/strong>：在有限字符集情况下，爆破是有效手段<\/li>
题目提示<\/strong>：注意题目给出的所有提示信息（如flag格式、函数处理差异等）<\/li>
<\/ol>
8. 扩展思考<\/h2>


如何防御这种基于指令特征的爆破攻击？<\/p>

增加合法但罕见的指令<\/li>
使用多层加密<\/li>
加入反调试技术<\/li>
<\/ul>
<\/li>

更高效的解题方法？<\/p>

结合动态分析，在解密后直接运行代码<\/li>
使用符号执行技术<\/li>
应用机器学习分类器识别合法代码<\/li>
<\/ul>
<\/li>

实际应用场景：<\/p>

恶意代码分析<\/li>
软件保护技术研究<\/li>
虚拟机逃逸漏洞挖掘<\/li>
<\/ul>
<\/li>
<\/ol>

指令<\/th>	原因<\/th> <\/tr> <\/thead>
`hlt<\/code><\/td>`	中止CPU，常用于内核或异常终止<\/td> <\/tr>
`cli<\/code>, sti<\/code><\/td>`	中断控制，通常为内核态指令<\/td> <\/tr>
`in<\/code>, out<\/code>, ins<\/code>, outs<\/code><\/td>`	端口IO操作，只用于驱动程序或内核<\/td> <\/tr>
`lgdt<\/code>, lidt<\/code>, ltr<\/code>, lmsw<\/code>等<\/td>`	修改全局或中断表，仅限系统级代码<\/td> <\/tr>
`rdmsr<\/code>, wrmsr<\/code>, rdtsc<\/code>等<\/td>`	访问CPU特权寄存器，仅限特定应用<\/td> <\/tr>
`vm<\/code>, svm<\/code><\/td>`	虚拟化指令，仅虚拟机\/Hypervisor使用<\/td> <\/tr>
`ud2<\/code><\/td>`	故意制造非法指令，常用于崩溃测试或反调试<\/td> <\/tr>
`lock<\/code>前缀的原子指令<\/td>`	除非是多线程同步函数<\/td> <\/tr> <\/tbody> <\/table> 3.3 常见合法指令<\/h3> 解密后的函数可能包含以下常见指令：<\/p> `push<\/code>, pop<\/code><\/li>` `mov<\/code><\/li>` `sub<\/code>, add<\/code><\/li>` `cmp<\/code>, test<\/code><\/li>` `xor<\/code>, and<\/code>, or<\/code><\/li>` `lea<\/code><\/li>` `imul<\/code><\/li>` `jmp<\/code>, jcc<\/code>条件跳转<\/li>` call<\/code>, ret<\/code><\/li> <\/ul> 3.4 Flag格式限制<\/h3> 题目明确说明flag格式为：<\/p> 字符集：0-9<\/code>, a-z<\/code>和_<\/code><\/li> 长度：固定50个字符<\/li> <\/ul> 4. 解题步骤详解<\/h2> 4.1 数据提取<\/h3> 从题目提供的文件中提取fun_list<\/code>数据<\/li> 确保每个data[i]<\/code>对应第i个函数，内容是要参与异或的字节<\/li> <\/ol> 4.2 爆破策略<\/h3> 由于flag字符集有限且长度固定，可以采用逐字符爆破的方法：<\/p> 对每个位置i (0 ≤ i < 50)<\/li> 尝试所有可能的字符c (0-9, a-z, _)<\/li> 用c与fun_list[i]<\/code>进行异或解密<\/li> 检查解密结果是否为合法汇编代码<\/li> <\/ol> 4.3 使用Capstone反汇编引擎<\/h3> Capstone是一个强大的反汇编框架，可用于验证解密后的代码是否合法：<\/p> from<\/span> capstone import<\/span> *<\/span> <\/span><\/span> <\/span><\/span># 初始化Capstone引擎<\/span> <\/span><\/span>md =<\/span> Cs(CS_ARCH_X86, CS_MODE_32) <\/span><\/span> <\/span><\/span># 对解密后的字节进行反汇编<\/span> <\/span><\/span>for<\/span> i in<\/span> md.<\/span>disasm(decrypted_bytes, 0x1000<\/span>): <\/span><\/span> print("0x<\/span>%x<\/span>:<\/span>\t<\/span>%s<\/span>\t<\/span>%s<\/span>"<\/span> %<\/span> (i.<\/span>address, i.<\/span>mnemonic, i.<\/span>op_str)) <\/span><\/span><\/code><\/pre>4.4 爆破代码实现<\/h3> 关键步骤：<\/p> 遍历每个flag位置<\/li> 尝试所有可能的字符<\/li> 解密并反汇编<\/li> 检查第一条指令是否合法<\/li> 记录所有可能的候选字符<\/li> <\/ol> def<\/span> brute_force_char<\/span>(pos): <\/span><\/span> possible_chars =<\/span> [] <\/span><\/span> for<\/span> c in<\/span> ALLOWED_CHARS: # 0-9a-z_<\/span> <\/span><\/span> decrypted =<\/span> xor(fun_list[pos], ord(c)) <\/span><\/span> # 使用Capstone反汇编第一条指令<\/span> <\/span><\/span> instr =<\/span> next(md.<\/span>disasm(decrypted[:15<\/span>], 0<\/span>), None<\/span>) <\/span><\/span> if<\/span> instr and<\/span> is_valid_instruction(instr): <\/span><\/span> possible_chars.<\/span>append(c) <\/span><\/span> return<\/span> possible_chars <\/span><\/span><\/code><\/pre>4.5 特殊处理<\/h3> 题目提示：<\/p> 前15个函数都是全部解密<\/li> 后35个函数留了最后一个字节未修改（可能是ret<\/code>指令，0xC3）<\/li> <\/ul> 因此可以推测：<\/p> 最后一个字节异或0xC3<\/code>可以得到flag对应位置的字符<\/li> <\/ul> 5. 工具与技术<\/h2> 5.1 Capstone反汇编引擎<\/h3> Capstone是一个轻量级、多平台、多架构的反汇编框架：<\/p> 官网: https:\/\/github.com\/aquynh\/capstone<\/li> 支持架构: Arm, Arm64 (AArch64\/Armv8), Mips, PPC, Sparc, SystemZ, XCore, X86 (包括X86-64)<\/li> 绑定语言: C\/C++, Python, Java, Go等<\/li> <\/ul> 安装方法：<\/p> pip install capstone <\/span><\/span><\/code><\/pre>5.2 其他技巧<\/h3> 指令长度分析<\/strong>：通过观察解密后代码的指令长度分布辅助判断<\/li> 函数序言分析<\/strong>：合法函数通常以push ebp; mov ebp, esp<\/code>开头<\/li> 交叉验证<\/strong>：对多个候选字符的解密结果进行比较，选择最合理的<\/li> <\/ol> 6. 完整解题流程<\/h2> 提取fun_list<\/code>数据<\/li> 对每个位置进行字符爆破：前15个位置：完整解密并验证<\/li> 后35个位置：假设最后一个字节是ret<\/code>(0xC3)<\/li> <\/ul> <\/li> 组合所有位置的解得到完整flag<\/li> 验证flag的正确性<\/li> <\/ol> 7. 经验总结<\/h2> SMC分析<\/strong>：理解自修改代码的工作原理是关键<\/li> 指令特征<\/strong>：掌握合法与非法指令的区别能大幅提高效率<\/li> 工具使用<\/strong>：熟练使用反汇编工具如Capstone是逆向工程的基础<\/li> 爆破策略<\/strong>：在有限字符集情况下，爆破是有效手段<\/li> 题目提示<\/strong>：注意题目给出的所有提示信息（如flag格式、函数处理差异等）<\/li> <\/ol> 8. 扩展思考<\/h2> 如何防御这种基于指令特征的爆破攻击？<\/p> 增加合法但罕见的指令<\/li> 使用多层加密<\/li> 加入反调试技术<\/li> <\/ul> <\/li> 更高效的解题方法？<\/p> 结合动态分析，在解密后直接运行代码<\/li> 使用符号执行技术<\/li> 应用机器学习分类器识别合法代码<\/li> <\/ul> <\/li> 实际应用场景：<\/p> 恶意代码分析<\/li> 软件保护技术研究<\/li> 虚拟机逃逸漏洞挖掘<\/li> <\/ul> <\/li> <\/ol>

JQCTF2025 Customize Virtual Machine 逆向分析与解题教程<\/h1>

1. 题目概述<\/h2> 这是一个基于自定义虚拟机(VM)的逆向工程挑战，主要涉及自修改代码(SMC)和虚拟机逆向分析技术。题目要求参赛者解密并分析一段被混淆的代码，最终获取隐藏的flag。<\/p>

2. 题目核心逻辑<\/h2>

3. 解题思路分析<\/h2>

4. 解题步骤详解<\/h2>

5. 工具与技术<\/h2>

1. 题目概述<\/h2>
这是一个基于自定义虚拟机(VM)的逆向工程挑战，主要涉及自修改代码(SMC)和虚拟机逆向分析技术。题目要求参赛者解密并分析一段被混淆的代码，最终获取隐藏的flag。<\/p>