最近我在Visual Studio 14(2015)的编译器中发现了一种名为 Warbird 的东西。
我用谷歌搜索但没有发现任何东西。除了这里的4个引用外: http://msdn.microsoft.com/en-us/library/mt656776.aspx 像
编译器警告C4992 Warbird:功能'%$ pD'标记为 __forceinline未内联,因为它包含无法保护的内联汇编
无证件。
关于一些字符串引用
%ProgramFiles%\Microsoft Visual Studio 14.0\VC\bin\c2.dll喜欢
Warbird Transform Function Pre-lower
Warbird Transform Function Pre-Encode
某种程度上让我猜测 Warbird 是一些代码混淆/保护系统,它构建在Microsoft编译器中。
过去我第一次遇到一些神秘的微软混淆是在winlogon.exe中发现Windows XP产品激活检查时。 而目前在64位Windows中存在Kernel Patch Protection的扼杀,试图阻止驱动程序弄乱内核。
正在进行逆向工程......
答案 0 :(得分:1)
Alex Ionescu在2017年Ekoparty会议上的演讲,在YouTube上发表演讲:The "Bird" That Killed Arbitrary Code Guard。他提到了你注意到的Visual Studio隐藏参数。
Alexandre Gazet's analysis of a virtual-machine based protection produced by old Warbird versions
答案 1 :(得分:0)
根据ThisIsSecurity.net研究:
Warbird是Windows 8/2012中引入的Windows许可证验证的增强功能。前一个系统太容易拦截和伪造,所以微软决定提供一些更难以逆向工程和伪造的东西。
VBA的一些dll也引用了Warbird,例如在VBEUI.dll
Warbird Code Verification Hook
Warbird Hooks
Warbird Heap Execution Hook