Devirtualização Estática do Themida

A Back Engineering Labs publicou uma abordagem genérica de devirtualização estática para Themida e CodeVirtualizer (extensível a VMProtect, vxlang, EagleVM e outros protetores baseados em VM) que deliberadamente evita pattern-matching de handlers. Em vez disso, eleva instruções nativas para a SSA IR do BLARE2 com todos os registros simbólicos e RSP concretizado, executando promoção de constantes, constant folding, eliminação de dead store (limitada a seções VM-privadas), combinação de instruções e branch folding até convergência, até que endereços de handler, matemática VPC e lógica de dispatch colapsem em fluxo de controle concreto.

O conhecimento específico da VM é necessário apenas para o handler VJCC do Themida (que escreve uma branch_taken_flag antes de avançar o VIP, forçando exploração de ambos os caminhos) e para classificação VMEXIT via deslocamento RSP do initRSP. Defensores e engenheiros reversos podem estudar os binários de amostra liberados no GitHub. Autores de ferramentas red-team devem notar que alvos de branch codificados com MBA não derrotam mais de forma confiável a avaliação simbólica, exigindo construções anti-simbólicas mais fortes para resistir a esta classe de pipeline.