{"id":4900,"date":"2026-06-30T21:12:56","date_gmt":"2026-06-30T19:12:56","guid":{"rendered":"https:\/\/dmgmit.eu\/blog\/?p=4900"},"modified":"2026-06-30T21:21:48","modified_gmt":"2026-06-30T19:21:48","slug":"simplevm-resolviendo-una-maquina-virtual-mediante-ingenieria-inversa-y-criptoanalisis-diferencial","status":"publish","type":"post","link":"https:\/\/dmgmit.eu\/blog\/2026\/06\/30\/simplevm-resolviendo-una-maquina-virtual-mediante-ingenieria-inversa-y-criptoanalisis-diferencial\/","title":{"rendered":"SimpleVM: Resolviendo una M\u00e1quina Virtual mediante Ingenier\u00eda Inversa y Criptoan\u00e1lisis Diferencial"},"content":{"rendered":"\n

En este art\u00edculo analizaremos SimpleVM<\/strong> (lo puedes encontrar aqu\u00ed https:\/\/reversing.kr\/<\/a>), un cl\u00e1sico reto tipo Crackme<\/em> que implementa una arquitectura basada en una m\u00e1quina virtual propia. Veremos c\u00f3mo pasar de la ceguera inicial frente a un binario aparentemente opaco hasta la obtenci\u00f3n de la clave correcta mediante una combinaci\u00f3n de ingenier\u00eda inversa, an\u00e1lisis din\u00e1mico y criptoan\u00e1lisis diferencial.<\/p>\n\n\n\n

Herramientas utilizadas:<\/strong> GDB, IDA Pro<\/p>\n\n\n\n

Introducci\u00f3n<\/h1>\n\n\n\n
\n\n\n\n

1. Entendiendo el escenario<\/h1>\n\n\n\n

Al ejecutar el binario en Linux nos encontramos con una interfaz extremadamente sencilla:<\/p>\n\n\n\n

$ .\/SimpleVM\nInput : VM_is_fun\nWrong<\/code><\/pre>\n\n\n\n
Cualquier cadena que introduzcamos devuelve un contundente Wrong<\/strong>.<\/p>\n\n\n\n
Un an\u00e1lisis preliminar muestra que el programa no utiliza funciones de comparaci\u00f3n est\u00e1ndar como strcmp()<\/code>. En su lugar, delega toda la validaci\u00f3n a un int\u00e9rprete interno que ejecuta bytecodes de una m\u00e1quina virtual.<\/p>\n\n\n\n
Al cargar el binario en IDA observamos adem\u00e1s un detalle importante: el ejecutable parece estar empaquetado. Gran parte del c\u00f3digo visible inicialmente no corresponde a la l\u00f3gica real del programa.<\/p>\n\n\n\n
Dado que se trata de un binario Linux, la forma m\u00e1s c\u00f3moda de obtener el c\u00f3digo desempaquetado consiste en ejecutarlo bajo GDB y realizar un volcado de memoria una vez finalizado el proceso de desempaquetado.<\/p>\n\n\n\n
$ sudo gdb .\/SimpleVM\n\n(gdb) catch syscall write\nCatchpoint 1 (syscall 'write')\n\n(gdb) run\nStarting program: \/SimpleVM\n\nCatchpoint 1 (call to syscall write)\n\n(gdb) finish\nInput :\n\nCatchpoint 1 (returned from syscall write)\n\n(gdb) info proc mappings<\/code><\/pre>\n\n\n\n
Entre los distintos segmentos mapeados encontramos uno especialmente interesante:<\/p>\n\n\n\n
0x08048000 - 0x0804c000<\/code><\/pre>\n\n\n\n
Esa regi\u00f3n contiene el c\u00f3digo ya desempaquetado de la aplicaci\u00f3n.<\/p>\n\n\n\n
Realizamos entonces un volcado:<\/p>\n\n\n\n
(gdb) dump memory volcado.bin 0x08048000 0x0804c000<\/code><\/pre>\n\n\n\n
Una vez cargado el fichero resultante en IDA, ya podemos comenzar el an\u00e1lisis real.<\/p>\n\n\n\n
\n\n\n\n
2. Ingenier\u00eda inversa del int\u00e9rprete<\/h1>\n\n\n\n
Al examinar el binario desempaquetado identificamos r\u00e1pidamente el n\u00facleo de la m\u00e1quina virtual: la funci\u00f3n sub_8048C6D()<\/code>.<\/p>\n\n\n\n
La arquitectura de la VM est\u00e1 compuesta por varios elementos fundamentales:<\/p>\n\n\n\n
    \n
  • Program Counter (PC)<\/strong>: gestionado por sub_8048A48()<\/code>, encargado de obtener la siguiente instrucci\u00f3n.<\/li>\n\n\n\n
  • Buffer de bytecodes ofuscado<\/strong>: las instrucciones son le\u00eddas aplicando una m\u00e1scara XOR 0x10<\/code>.<\/li>\n\n\n\n
  • Despachador de opcodes<\/strong>: una estructura similar a un switch-case<\/code> que procesa los distintos bytecodes.<\/li>\n<\/ul>\n\n\n\n
    C\u00f3digo simplificado:<\/p>\n\n\n\n
    int sub_8048C6D()\n{\n    while (1)\n    {\n        sub_8048A48();      \/\/ Fetch Opcode\n\n        switch (dword_804B190)\n        {\n            case 6:\n                sub_8048ABB(); \/\/ XOR\n                continue;\n\n            case 7:\n                sub_8048B31(); \/\/ Comparaci\u00f3n\n                continue;\n\n            case 9:\n                sub_8048BCE(); \/\/ Salto condicional\n                continue;\n        }\n    }\n}<\/code><\/pre>\n\n\n\n
    Durante el an\u00e1lisis observamos que los opcodes m\u00e1s relevantes son:<\/p>\n\n\n\n
    Opcode<\/th>Funci\u00f3n<\/th><\/tr>
    6<\/td>Operaci\u00f3n XOR<\/td><\/tr>
    7<\/td>Comparaci\u00f3n<\/td><\/tr>
    9<\/td>Salto condicional<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
    El opcode que m\u00e1s nos interesa es el 7<\/strong>, implementado por sub_8048B31()<\/code>, ya que es el encargado de verificar si los valores calculados a partir de nuestra entrada coinciden con los esperados por la VM.<\/p>\n\n\n\n
    Si la comparaci\u00f3n falla, el opcode 9 detecta el error y redirige la ejecuci\u00f3n hacia la rutina que imprime Wrong<\/strong>.<\/p>\n\n\n\n
    \n\n\n\n
    3. Localizando la comparaci\u00f3n cr\u00edtica con GDB<\/h1>\n\n\n\n
    Conociendo la funci\u00f3n responsable de la validaci\u00f3n, centramos el an\u00e1lisis din\u00e1mico en sub_8048B31()<\/code>.<\/p>\n\n\n\n
    Tras seguir su ejecuci\u00f3n encontramos la comparaci\u00f3n definitiva:<\/p>\n\n\n\n
    0x8048b5c: mov 0x804b198,%edx\n0x8048b62: mov 0x804b194,%eax\n0x8048b67: cmp %eax,%edx\n0x8048b69: jne 0x8048b77<\/code><\/pre>\n\n\n\n
    Aqu\u00ed se produce el momento decisivo:<\/p>\n\n\n\n