软件虚拟机保护分析资料整理

最新推荐文章于 2024-06-12 09:54:57 发布
最新推荐文章于 2024-06-12 09:54:57 发布
阅读量1.1k 收藏
点赞数
文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SworldMap/article/details/131979999
版权

awesome-vmp

关于软件虚拟化保护(如VMProtect)的资料。

工具篇介绍了VM保护的现有分析工具,并进行了简单的试用分析。

文章篇介绍了VM保护相关的分析文章,包括对虚拟机的分析,及一些反混淆方法。

本项目发在了github上, GitHub - lmy375/awesome-vmp: 虚拟化保护(VMP壳)分析相关资料
如果有其他好用的工具或者优秀的文章可以留言链接或者直接在github上提交 pull request,优秀的资源需要分享才能最大发挥其价值

工具篇

FKVMP

  • 针对目标:VMProtect 1.x 2.x (大概到 VMProtect 2.09)
  • 类型:Ollydbg 插件
  • 开发者:Nooby
  • 功能:Handler 识别、还原 PCODE 等

FKVMP 是比较古老的一款 Ollydbg 插件,但在当时非常有名。

使用方法简单,在虚拟机入口处(push/call 或 jmp)右键 FKVMP -> start 即可。

下图是对如下代码

mov ebx, 0deadbeefh
mov eax, 0beefdeadh

使用 VMProtect 1.60 保护后, 使用 FKVMP 分析的结果(结果打印在 OD 的日志窗口中)。

img

可以所有Handler已经为指令都已经识别出来,初始化压栈的寄存器顺序也会打印出来。

本工具(可能是第1次完成)字节码的还原的实现(其实可以认为是虚拟机指令的反汇编)使对 VMProtect 的人工分析成为可能。

缺点是只支持单一的基本块,每次分析到 SetEIP 指令(实际就是跳转指令)就会停止,需要人工操作,去分析下一基本块。

VMP分析插件

可以认为是 FKVMP 的超级加强版,在同类工具之中功能最为强大的工具。

首先该工具支持了跨基本块的分析,可以一次性将全部虚拟机字节码提取出来。除此外,还有许多亮点功能:

  • 虚拟指令级别的调试。可以像调试汇编一样调试虚拟机指令,可以单步运行一条虚拟指令,并查看虚拟寄存器、虚拟栈的信息。
  • 表达式转化及化简。本功能会在虚拟指令级别进行数据流和控制流的分析,进行字节码的收缩。 VMProtect 是栈机结构,同时有 NOR 逻辑的混淆膨胀,字节码的收缩还原一直是研究的重点,本工具可以完成字节码收缩过程,输出收缩后的表达式。唯一不同是没有转化成原始的 x86 代码。但在分析上,已经可以提供极为有力的参考。
  • 支持字节码的 Patch。由于加密的存在,字节码 Patch 一直是十分痛苦的过程,本工具可以像 Patch 普通指令一样 Patch 虚拟指令。
  • 支持自定义模板。模板包括 Handler 识别模板和表达式化简模板。该工具提供了模板文件及模板修改工具。理论上,可以通过对模板文件的修改使及兼容所有版本的 VMProtect 1.x 2.x。( 3.x 因为虚拟机结构变化不能支持)。

下图是工具使用截图。该工具以插件的形式,实现了一个与原生OD非常相似的VMP调试界面,寄存器、栈的内容可以实时查看。

img

使用方法简单,在虚拟机入口处(push/call 或 jmp)右键 VMP分析插件 -> 分析虚拟程序 完成分析。然后可以打开插件的虚拟指令窗口、调试窗口查看字节码并进行调试分析。

VMSweeper

  • 针对目标:VMProtect 2.x 、Code Virtualizer
  • 类型:Ollydbg 插件
  • 开发者:Vamit
  • 功能:VMProtect 保护下的 x86 代码还原
  • 最后更新时间:v1.5 2014

可以完成 VMP 保护代码还原的工具。 完全的代码还原是十分困难的,因此该工具稳定性不高,经常出现异常。但是某些简单样本的测试,确实有不错的还原效果。

使用方法:

  1. 使用纯净版 OD 加载插件,避免插件间冲突。
  2. Plugins -> VMPSweeper -> Analyze all VM reference
  3. 弹出窗口选要分析的 VM, 右键 Decode VM。
  4. 此时会自动在虚拟机入口点断下,F1 快捷键,VMSweeper会开始进行分析。
  5. 分析完成后,会弹出提示框重新运行进程。重新运行后, Plugins -> VMPSweeper -> Continue decode VM。继续分析。
  6. 如果分析没有产生任何异常,VMPSweeper 会把还原后的代码 Patch 到原本的虚拟机入口处。
  7. 但上述过程经常出错,可以在 OD 根目录下查找 VMS_xxx 文件夹,查看日志文件,*.log 文件中保存着还原的过程输出。

如下是log文件截取。

...

++++++++++++++++++++++++++++++++++++
  Section a12 final
++++++++++++++++++++++++++++++++++++

004100BC: push ebp
004100C2: rvm_38 = esp
004100C9: push esi
004100D5: push edi
004100F6: [rvm_38 + 0xFFFFFFFC] = 0
00410111: eax = [rvm_38 + 0xFFFFFFFC]
00410131: rvm_34 = [rvm_38 + 8]
00410167: eax = [eax * 4 + rvm_34]
00410186: rvm_10 = [rvm_38 + 0xFFFFFFFC]
004101A6: edi = [rvm_38 + 8]
004101EC: rvm_08 = [rvm_10 * 4 + edi + 4 + eax]
0041021C: eax = [rvm_38 + 0xFFFFFFFC]
0041023C: rvm_10 = [rvm_38 + 0x0000000C]
00410278: [eax * 4 + rvm_10] = rvm_08
00410292: rvm_34 = [rvm_38 + 0xFFFFFFFC]
0041029C: eax = rvm_34 + 1
004102D4: [rvm_38 + 0xFFFFFFFC] = eax
004102EF: edx = [rvm_38 + 0xFFFFFFFC]
0041030F: eax = [rvm_38 + 8]
0041032F: rvm_18 = [rvm_38 + 0xFFFFFFFC]
0041034F: eax = [rvm_38 + 8]
00410385: rvm_3C = [edx * 4 + eax]
00410466: edi = and ~and ~rvm_3C, [rvm_18 * 4 + rvm_24 + ~4], ~and rvm_3C, [rvm_18 * 4 + rvm_24 + 4]

...

这是还原出来的 x86 代码。其中 rvm 是寄存器未推断出结果导致的。完美还原的代码会形成 完整的 x86 指令。

该工具是少见的可以将 VMProtect 保护代码进行完整还原的工具,缺点是稳定性太差,对于稍复杂的程序,还原过程很大可能会出现异常报错。

根据工具的说明,似乎是应该支持 Code Virtualizer的。测试成功还原 Code Virtualizer 1.3.8 版本未成功。

Oreans UnVirtualizer

  • 针对目标:Oreans系列 Code Virtualizer / Themida / WinLicense
  • 类型:Ollydbg 插件
  • 开发者:Deathway
  • 功能:Oreans 保护下的 x86 代码还原
  • 最后更新时间:v1.8 2014/02/04

可以支持 Oreans 系列保护工具早期版本的 x86 还原。但对新版本的 FISH/TIGER 等系列虚拟机效果不佳。

使用:在虚拟机入口,右键分析,如果还原成功会弹出还原代码的文本文件。

如下是对 Code Virtualizer v1.3.8 代码还原的结果示意。 如果还原成功则与原代码基本一致(对CISC体系效果较好)。

...

@Label_00409223
        00409252        MOV DWORD PTR [EBP+0xfffffffc],0x0
        00409263        MOV EAX,DWORD PTR [EBP+0xfffffffc]
        00409281        MOV DWORD PTR [EBP+0xfffffff8],EAX
        00409291        JMP 0x4c

@Label_00409297
        00409297        MOV ECX,DWORD PTR [EBP+0xfffffff8]
        004092AC        ADD ECX,0x1
        004092C3        MOV DWORD PTR [EBP+0xfffffff8],ECX

@Label_004092E2
        004092E2        MOV EDX,DWORD PTR [EBP+0xfffffff8]
        004092F2        CMP EDX,DWORD PTR [EBP+0xc]
        0040930A        JNB 0x7b2
        0040930F        MOV EAX,DWORD PTR [EBP+0xfffffff8]

...

VMAttack

从官方 demo 上看,应该只支持去混淆的 VMProtect demo 版。

2016 IDA插件大赛第2名

相关论文:Kalysch A, Götzfried J, Müller T. VMAttack: Deobfuscating Virtualization-Based Packed Binaries[C]// The, International Conference. 2017:1-10.

VirtualDeobfuscator

2013 年 Blackhat视频:  https://www.youtube.com/watch?v=hoda99l5y_g  

其他

VMP 1.7 完整还原
[原创]VMP早期版本逆向还原文档(带完整引擎源码)(更新终章的一半)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

VMP Handler 分析插件 GitHub - OoWoodOne/VMP_ODPlugin: VMProtect OD Plugin

Zeus--VMProtect分析及自动脱壳插件 by ximo [LCG新年礼物之五]Zeus--VMProtect分析及自动脱壳插件 - 『逆向资源区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

VMP调试器
GitHub - uvbs/VMPDBG2

CV 反编译
GitHub - pakt/decv: Decompiler for Code Virtualizer 1.3.8 (Oreans)

Code Deobfuscator
[Code Deobfuscator] - Programming and Coding - Tuts 4 You
GitHub - Pigrecos/CodeDeobfuscator: Code Deobfuscator

(这些工具我没有具体试用,不敢妄做评价,有兴趣的同学可以试用下并留言使用效果及说明)

文章篇

会议PPT

学术文章

  • Xie, H., Zhang, Y., Li, J., & Gu, D. (2017). Nightingale: Translating Embedded VM Code in x86 Binary Executables. Information Security.
  • Yadegari, B. and S. Debray (2015). Symbolic Execution of Obfuscated Code. ACM Sigsac Conference on Computer and Communications Security: 732-744.
  • Yadegari, B. and B. Johannesmeyer, et al. (2015). A Generic Approach to Automatic Deobfuscation of Executable Code. IEEE Symposium on Security and Privacy.
  • Kinder, J. (2012). "Towards Static Analysis of Virtualization-Obfuscated Binaries." Proc.working Conf.reverse Engineering: 61-70.
  • Coogan, K. and G. Lu, et al. (2011). Deobfuscation of virtualization-obfuscated software: a semantics-based approach. ACM Conference on Computer and Communications Security, CCS 2011, Chicago, Illinois, Usa, October.
  • Rolles, R. (2009). Unpacking virtualization obfuscators.
  • Sharif, M. and A. Lanzi, et al. (2009). Automatic Reverse Engineering of Malware Emulators. IEEE Symposium on Security and Privacy.

其他

SworldMap
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
VM(虚拟机技术)保护
w4y2'blog
04-28 2137
1.VM技术介绍 我发现论坛上每当谈到虚拟机技术时,鲜有几人参与讨论,因为虚拟机技术还没有普及到大家的心中。VM 其实就是Virtual Machine(虚拟机)的缩写,这里说的VM并不是像VMWare那样的虚拟机,而是将一系列的指令解释成bytecode(字节码)放在一个解释引擎中执行。 2.目前现状的VM应用 VM技术最早的应用我想应该是VB(PCode)吧(瞎猜的),时至今日才
VM保护技术
a949308398的专栏
07-01 700
1.VM技术介绍 我发现论坛上每当谈到虚拟机技术时,鲜有几人参与讨论,因为虚拟机技术还没有普及到大家的心中。VM 其实就是Virtual Machine(虚拟机)的缩写,这里说的VM并不是像VMWare那样的虚拟机,而是将一系列的指令解释成bytecode(字节码)放在一个解释引擎中执行。
探索恶意软件的新武器:VMAttack – 解密.NET虚拟机的钥匙
最新发布
gitblog_00099的博客
06-12 681
探索恶意软件的新武器:VMAttack – 解密.NET虚拟机的钥匙 项目地址:https://gitcode.com/void-stack/VMAttack 项目介绍 在网络安全领域,恶意软件和防御工具之间的斗争从未停息。如今,我们有幸向大家介绍一款名为VMAttack的神器,这是一款专注于研究**.NET虚拟机(VM)**及其代码虚拟化技术的工作中开源项目。其核心目标是为安全研究人员提供一把锋...
VM保护简单原理
demondev
12-15 1558
转自:http://bbs.pediy.com   /* VM初探 作者:blueapplez QQ:124272113 Email:blueapple1987@163.com http://bbs.pediy.com/ */ #include "windows.h" /* 下面是虚拟指令 我们只模拟了2条指令 */ //push 0x12345678 push一个4字节的数 #def
如何更好更正确的利用VMProtect保护你的软件
u013514820的专栏
02-11 8735
一.前言 这篇文章主要目的是对VMP壳主要特性有初步的了解,掌握VMProtect3.5软件正确有效的使用方法,并以一个具体案例来演示,演示所使用的版本为VMProtect3.5已注册版本,授权已经过期但保护效果依旧没有过时,官网也才是3.51补丁版本,文章演示所用版本将会在文章末尾附上下载链接。 二.VMProtect浅析 1.打包(压缩/加密) 压缩/加密可执行文件的代码部分以防止被静态分析,这是很常见的保护手法。考虑到被压缩/加密代码在运行过程终究会被还原成正常的未加密的代码,所以会在执行期间
VMP分析之VMP2.13插件化分析(四)
鬼手的博客
10-10 2252
文章目录Zeus插件相关介绍初始化Key并解密加载操作码解密操作码取handler解密handler进入handler保存堆栈指令流解密KeyVMP分析插件相关介绍VM分析插件的使用插件化分析VM代码VM指令集说明FKVMP相关介绍使用方法VMSweeper相关介绍使用方法 Zeus插件 相关介绍 开发者: ximo 更新时间:2012-1 可以分析VM的基本信息,包括解析VM入口信息及handler名,大致是阉割版fkvmp(无解析流程功能) 可以自动脱壳保护的壳,包括IAT,资源保护,heap ant
过TP保护的最佳方法(最新整理
10-20
### 过TP保护的最佳方法(最新整理) #### 概述 本文旨在介绍针对特定游戏保护——TMD_TP的破解分析过程。TMD_TP作为一种游戏保护机制,被广泛应用于包括D_N*F在内的多款游戏之中,以防止作弊、调试和其他形式的...
64位虚拟机教程word版本
03-08
3. **更好的安全性和稳定性**:64位系统通常提供更先进的安全特性,如数据执行保护(DEP)和地址空间布局随机化(ASLR),这些特性有助于防止恶意软件的攻击。 ### 创建64位虚拟机教程 在创建关于64位虚拟机的教程...
自己整理的物联网和云计算资料集合
11-22
物联网是指通过传感器、嵌入式系统等技术,将各种物理设备与互联网连接,实现万物互联,而云计算则是一种通过网络提供按需计算服务的模式,包括服务器、存储、数据库、网络、软件分析能力等。 一、物联网知识点 ...
Fedora配置FTP服务器[整理].pdf
10-11
本文将指导如何在 Fedora 操作系统中配置 FTP 服务器,使用 vsftpd 服务器软件来实现。整个实验过程包括检查和安装 vsftpd 服务器,关闭 SElinux 服务,关闭防火墙,配置 vsftpd 服务,启动 vsftpd 服务,配置网络宿...
虚拟化软件需求--服务器虚拟化指标--与VMWare的差异分析整理.pdf
01-23
【虚拟化软件需求--服务器虚拟化指标--与VMWare的差异分析】 服务器虚拟化是现代数据中心的核心技术之一,它允许在单个物理服务器上运行多个独立的虚拟机(VM),从而提高了硬件资源的利用率和灵活性。这篇文档主要...
VMP分析插件调试VM
07-16
VMP分析插件调试VM
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 8589
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
VMProtect2.06学习
weixin_30550081的博客
08-05 176
编译类型 否: FUCKVMP(FKVMP) 插件 ->start -> 搜索自定义注释 看到 retn 下断点 并暂时禁止 ALT+M, 看内存 数据段 内存地址 -> 在OD 数据窗口 搜索->发现全0 下断点 VittualProtectEx 经历n次 程序跑飞 来到n-1 次 发现数据窗口有数据了 把刚才的retn断...
Ollydbg在虚拟机不能中断的问题
xiuzhentianting的博客
09-05 599
修改配置 Use hardware breakpoints to step 为 0, F4不能用的问题:可以先设置断点 F2,然后再F5,和F4效果一样  注意原因是因为虚拟机没有调试寄存器。用虚拟机调试很多功能都不行。F4不行,硬件断点不行。
VMProtect虚拟机保护及还原
ZK_1874的博客
04-02 1798
VMProtect虚拟机保护及还原
盘点市面上七款好用的代码加密混淆工具,你都用过哪款?
励志做最业余的专业博主,控件产品可以私我~
09-02 6379
市面上加密混淆软件那么多,哪些比较好用?哪些最受开发者喜欢?小编最近在某知名技术交流网站上发起投票,给大家收集了以下几款软件在程序员中的普及度较高的加密软件(仅供参考),以下便是投票结果。今天小编就这几款软件给大家做个分享,大家可根据自己情况选择,有其他不错的也欢迎大家在评论区留言。
2010.07.30_ximo_简单的VM保护程序的爆破分析(vmp 2.05)
记录点滴
05-06 2964
http://hi.baidu.com/ximo2006/blog/item/1ae9d6044406c976030881e1.html 小菜鸟初玩VM,简单记录下,当做学习笔记。 只是简单的爆破分析而已,不涉及还原,当然知道了原理,还原也只是个体力活。能力有限,写的东西可能有很多错误,请大家多多指点。 首先,先写几句简单的代码,当做试炼程序。 #include int main(
2011.02.03_理解了VMP保护的原理
记录点滴
05-07 5190
理解了VMP保护的原理 把X86指令  push(入栈) 之后 加密 然后  jmp到虚拟机  然后通过解释器,模拟CPU对指令进行执行      比如 VMProtectBegin push 2 push 3 call  0x123456 VMProtectEnd 把这段代码进行加密  变成 jmp 到虚拟机中 利用解释器进行解释执行 加密的时候先把你加密的代码
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SworldMap

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值