制作一个简单的装配模拟器

Question

我正在开发检测未知病毒的项目，因此我将构建我的小型模拟器来模拟可执行文件的汇编代码，以便我可以检测它是否是通过将其模拟到虚拟寄存器然后观察会发生什么来确定病毒是否存在。 所以我需要帮助来获取 c 中每个汇编指令的代码。

Answer 1

如果您想创建 x86 模拟器，您可以查看完整的操作码列表：
x86 指令集参考。但这似乎不是检测病毒的好方法。

Answer 2

您正在寻找 Bochs，它是 x86 ISA 和通用硬件的 LGPL 模拟器。

Answer 3

寄存器值中没有任何内容表明恶意。你最好放弃那个。大多数试图检测恶意行为的沙箱所做的是拦截系统/库调用。

使用上下文 %eax=1 %ebx=4000 %ecx=3F 调用 ftable+1 也可能意味着发射核导弹，因为它可能意味着打印 hello world。
现在，如果您将自己的函数放在系统和可执行文件之间，您就可以知道发生了什么（将其识别为恶意并不那么容易）。

这当然不需要模拟器，所以你最好重新考虑一下，因为编写一个准确的模拟器是非常非常困难的。