1、研究灵感

研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。分析这些程序跟分析PC端的类似程序不同，因为二者使用的加固混淆器、使用的指令集都不同，且移动端app涉及到程序与安卓框架和native接口的交互。因此，该研究放在“恶意软件”、“移动安全”方向较为合适。

2、该研究提出了什么新概念或方法？

针对开源/闭源的虚拟化加固器所混淆的恶意安卓程序，分别提出较为可用的反混淆方案。业界对于虚拟化加固逆向的其他研究更多是针对PC端加壳器(VMProtect等)，无法直接移植用于移动端的虚拟化加固，而本研究更专注于移动端的研究。

3、研究要点

虚拟化加固被移动恶意软件用作对抗逆向分析的技术，并且当前没有方便现成的工具和方法； 对于在开源虚拟机上执行的混淆后的代码，我们模拟虚拟机的执行流程，并经过“反汇编-重组AST-AST翻回源码”的流程，做了相应的demo，逆向出部分源码； 为逆向闭源虚拟化加固器所混淆的安卓程序，我们 准备原始和混淆后的程序样本，收集trace并从中定位出p-code分发和处理器，学习dalvik代码和native机器代码之间的映射关系，复原出与原始代码相似的代码。

4、解决什么问题

解决对于虚拟化加固的安卓程序，缺少现成的逆向工具和方法的问题。