VM 逆向题会把原本直接执行的逻辑转换成自定义字节码，再由解释器执行。分析重点从“读机器指令”变成“理解这个虚拟机的指令集和状态机”。

一句话判断

如果程序有一段字节码数组、一个指令指针、一个分发循环，并根据 opcode 执行不同处理器，就要按自定义 VM 题分析。

Python 程序可以被编译成 .pyc 字节码文件。CTF 中常见任务是从 .pyc、打包程序或混淆字节码中恢复源码逻辑。

JNI 是 Java Native Interface，用来让 Java 或 Kotlin 代码调用 native C/C++ 代码。APK 逆向中，关键校验逻辑常常通过 JNI 藏到 .so 文件里。

Go 和 Rust 编译出的二进制常常比传统 C 程序更大，运行时结构也更复杂。识别语言特征能帮助你少走弯路。

一句话判断

如果二进制体积很大、符号或字符串里出现 runtime.、main.main、go1.、Rust mangled name、panicked at、Option::unwrap，就要按 Go/Rust 语言运行时特征来分析。

.NET 程序通常编译成中间语言 IL，并保留大量元数据。相比原生 C/C++ 程序，很多 .NET 题更接近“高层代码恢复”。

一句话判断

如果 PE 文件带 CLR/.NET 元数据，或 dnSpy/ILSpy 能直接恢复类、方法和 C# 代码，就按 .NET 逆向处理，优先看字符串、资源和事件处理函数。

APK 是 Android 应用安装包。它本质上是一个压缩包，里面包含代码、资源、配置、签名和可能的 native 库。

一句话判断

拿到 .apk 时，不要先当普通 exe 看；先把它当压缩包和 Android 工程拆开，按 Manifest、dex、资源、assets、native so 五条线定位校验逻辑。

逆向入门不是一上来就读完整汇编。更现实的入口是先找程序里已经存在的文本，再顺着这些文本找到代码位置，最后理解程序如何决定成功或失败。

一句话判断

当程序里能找到成功提示、失败提示、输入提示、关键常量或可疑字符串时，先查这些字符串的交叉引用，再顺着控制流回到真正的校验逻辑。

控制流平坦化是一种混淆技术。它把原本清晰的分支和循环改造成一个调度循环，让反编译结果看起来像巨大的状态机。

一句话判断

如果一个函数被改造成 while(true) + switch(state)，每个 case 只做一小段逻辑并更新状态变量，就要怀疑控制流平坦化。