VM保护技术

最新推荐文章于 2023-07-28 14:45:14 发布
最新推荐文章于 2023-07-28 14:45:14 发布
阅读量689 收藏 1
点赞数
分类专栏: 逆向 文章标签: 汇编

【破文标题】手把手教你使用WINDBG KO XXXX游戏驱动保护
【破文作者】lj8888
【作者邮箱】xxxx@163.com
【作者主页】-
【破解工具】windbg 6.7
【破解平台】D版 XP SP3
【软件名称】
【软件大小】
【原版下载】
【保护方式】
【软件简介】当前正在内测的大型网游
【破解声明】菜鸟提供一点破解验证另类思路。如有失误之处纯属意外! 请高手直接飘过!

1.VM技术介绍
这里说的VM并不是像VMWare那样的虚拟机,而是将一系列的指令解释成bytecode(字节码)放在一个解释引擎中执行。

 

2.VM的一些原理
一个虚拟机引擎由编译器、解释器和VPU Context(虚拟CPU环境)组成,再配上一个或多个指令系统。
编译器:将一条条X86指令解释成自己的指令系统。
解释器:解释器附加在被加壳的软件中,用来解释这些自定义的指令。
指令系统:一套或多套自己定义的指令系统,用来虚拟执行这些bytecode。

 

现在讲讲虚拟机是如何运作的,首先加壳程序先把已知的X86指令解释成了字节码,放在PE文件中,然后将原处代码删掉,
改成类似的代码进入虚拟机执行循环。
push bytecode
jmp VstartVM

VstartVM是进入虚拟机的函数,它的代码大概类似这样的
// 进入虚拟机函数,我的最初版本是写死在成种VC环境下的,不过这样处理起来很麻烦。

void _declspec(naked) VStartVM()

{

_asm

{

// 将寄存器压入堆栈,由伪指令取出存放到VMReg中

//可以考虑为压栈时加入一些随机性

push eax

push ebx

push ecx

push edx

push esi

push edi

push ebp

pushfd

mov esi,[esp+0x20]

mov ebp,esp

sub esp,0x200

mov edi,esp

sub esp,0x40

Next:

movzx eax,byte ptr [esi]

lea esi,[esi+1]

jmp dword ptr [eax*4+JUMPADDR] ;跳到Handler执行处,由加壳引擎填充

VM_END ;VM结束标记

}

}
然后每读一个byte跳到目标处模拟执行代码。
JUMPADDR就是一张函数表(让我想到了VTBL),每次从内存里读出一个command code(其实就是偏移),然后转向那个过程,如vEnter的代码:
// enter和执行下列代码用途相同

//push ebp

//mov ebp,esp

//sub esp,(L - 1) * 4 ; L > 0才有这步操作,用来存储嵌套的L - 1个子过程的栈框架指针(注意是指针)

//push ebp ; 当前过程的栈框架指针

//sub esp,N

mov edx,[edi+Ebp]
sub ebp,4
mov dword ptr [ebp],edx
mov edx,ebp
mov [edi+Esp],edx
mov edx,ebp
lea ecx,[ecx*4];ecx是从内存读出的opcode
sub edx,ecx
sub edx,4
test ecx,ecx
cmovne ebp,edx
mov edx,[edi+Ebp]
sub ebp,4
mov dword ptr [ebp],edx
sub ebp,eax
//。。一些修正堆栈的工作
jmp next
以上代码就是模拟一个enter指令的代码,我不会汇编,就只能写成这样了。

现在再来看看它们的执行过程:
1.首先进入虚拟机,压入寄存器,然后设计一些伪指令来将寄存器保存到虚拟机环境中去。
2.一切工作就绪,真实寄存器存放的值是什么已经不重要了,因为我们将它存放到了虚拟环境中去了,自己可以随便使用而不用怕影响到原来的代码。
3.这时从那句jmp table看起,从[esi]得到一个偏移,它指向的就是vEnter的地址,于是它来到了vEnter处
4.vEnter又从内存中得到opcode,模拟出这句代码,并存放到堆栈。
5.注意有时要修正虚拟堆栈寄存器的值,否则会挂得很惨。
6.Jmp 到 next,这时转向第2步。



其他指令如同vEnter一样。。。发挥你的想像力了。



2-6就是一个虚拟机的执行过程,如果你曾经调试过VM,是否会对jmp [table+x]似曾相识呢?

一个简单的VM引擎就是这个样子,不过一个专业化、商业化的引擎可不仅是这个样子,还要注重很多东西,比如多线程、流程化指令,虚拟-现实之间的转换,支持SEH异常(包括VB、VC的异常)。


看到这里,你可以发现,虚拟机就是一层复杂的壳子,把原来的代码藏得毫无踪影,如果你想还原出原来的代码(基于更高级的理论来说,暂时已经不可能了),那么你需要先复习一下IA64,然后仔细研究VM执行体,逆向出Table中用到的函数,得出它正在执行哪一条语句的哪一“部分”。。。除非你要研究的程序达到了一定的价值,不然我想等你弄清楚这个程序如何执行的时候,意义已经不大了。

a949308398
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
台湾安良AVM检测及保护继电器
03-22
介绍了关于台湾安良AVM检测及保护继电器的详细说明,提供台湾安良的技术资料的下载。
前端框架MVVM(整理)
u011402106的博客
05-12 1007
一、总结 vm(视图模型)viewmodel 通过接口从后台m(model)请求数据,vm继而和v(view)实现数据的双向绑定。 二、MVVM和MVC的关系 1.mvc中c(controller)被转换成vm(viewmodel) 2.MVVM是model(接口)-view(视图)-viewmodel(视图模型)的简写,就是mvc的改进版 3.MVVM更好的实现了前后台分离 三、MVVM框架编码实例 Vue的View模板: <div id="app"> <p&gt
mvvm是什么?
weixin_61434466的博客
04-25 3774
1、总结 一句话总结:vm(视图模型)通过接口从后台m(model)请求数据,vm继而和v(view)实现数据的双向绑定 2、mvc和mvvm的关系? 改进版 数据分离 视图模型 c(控制)被换成了vm(viewmodel) MVVM是Model-View-ViewModel的简写。它本质上就是MVC 的改进版。 mvvm实现了前后端更好的分离(前端需要的数据只需要请求后端的接口即可 3.MVVM模式的优点以及与MVC模式的区别? MVVM模式的优点: 1、低耦合.
一文读懂VMware虚拟化技术(含超融合)
caoyuan666的博客
11-20 6201
一文读懂VMware虚拟化技术(含超融合)
Silverlight实战示例6(兼集合属性的妙用)--客户端视图模型(VM)
Eric_K1m的专栏
07-01 632
3)视图模型DynamicDataViewModel .cs using System; using System.Net; using System.Windows; using System.Windows.Controls; using System.Windows.Documents; using System.Windows.Ink; using System.Win
如何更好更正确的利用VMProtect保护你的软件
u013514820的专栏
02-11 7321
一.前言 这篇文章主要目的是对VMP壳主要特性有初步的了解,掌握VMProtect3.5软件正确有效的使用方法,并以一个具体案例来演示,演示所使用的版本为VMProtect3.5已注册版本,授权已经过期但保护效果依旧没有过时,官网也才是3.51补丁版本,文章演示所用版本将会在文章末尾附上下载链接。 二.VMProtect浅析 1.打包(压缩/加密) 压缩/加密可执行文件的代码部分以防止被静态分析,这是很常见的保护手法。考虑到被压缩/加密代码在运行过程终究会被还原成正常的未加密的代码,所以会在执行期间
电源技术中的一种单节锂电池保护IC设计
10-21
摘 要:介绍了锂电池保护IC的工作原理,设计了适合CMOS工艺的锂电池保护电路,符合低功耗,高精度的... 正常状态:当电池电压在过放电检测电压以上且在过充电检测电压以下, VM端子的电压在充电器检测电压以上且在过
ST570电动机保护控制器技术说明书2017-03.pdf
05-16
苏州万龙 ST570系列马保用户手册,全系列的接线图和参数设置,有使用苏州万龙马保的朋友可以参考一下,非常好用,这款马保的性价比很高,在国产马保中属于优质产品
lsvmtools:Linux Shielded VM Tools-用于管理Hyper-V中使用的受屏蔽Linux VM的工具
05-26
LSVMTools旨在保护Linux VM在静止和飞行中免受攻击。 它基于以下技术。 Windows Server 2016保护的结构 Hyper-V屏蔽的VM UEFI TPM 2.0 Linux统一密钥设置(LUKS) dm-crypt LSVMTools提供了两个主要工具。 ...
使用本地启动的虚拟机保护您的隐私
04-14
SEE将EDFS和我们的本地引导技术结合在一起,这意味着VM不会从新安装的操作系统映像进行引导,而仅从基础主机OS进行引导,以确保有关隐私数据访问的所有信息都在SEE本身内受限制。 凭借这一强大的功能,SEE提供了一...
Vmware虚拟化概念原理
热门推荐
曹世宏的博客
05-18 5万+
虚拟化介绍 什么是虚拟化: 虚拟化是一种资源管理技术, 是将计算机的各种物理资源, 如服务器、网络、内存及存储等,予以抽象、转换后呈现出来,打破物理设备结构间的不可切割的障碍,使用户可以比原本的架构更好的方式来应用这些资源。这些资源的虚拟部分是不受现有资源的架构方式、地域或物理设备所限制。 虚拟化创建了一隔离,把硬件和上应用分离开来,允许在一个硬件资源上运行多个逻辑应用。 虚拟化...
软件虚拟机保护分析资料整理
SworldMap的博客
07-28 1034
完全的代码还原是十分困难的,因此该工具稳定性不高,经常出现异常。该工具是少见的可以将 VMProtect 保护代码进行完整还原的工具,缺点是稳定性太差,对于稍复杂的程序,还原过程很大可能会出现异常报错。本工具(可能是第1次完成)字节码的还原的实现(其实可以认为是虚拟机指令的反汇编)使对 VMProtect 的人工分析成为可能。该工具以插件的形式,实现了一个与原生OD非常相似的VMP调试界面,寄存器、栈的内容可以实时查看。文章篇介绍了VM保护相关的分析文章,包括对虚拟机的分析,及一些反混淆方法。
VM(虚拟机技术保护
w4y2'blog
04-28 2081
1.VM技术介绍 我发现论坛上每当谈到虚拟机技术时,鲜有几人参与讨论,因为虚拟机技术还没有普及到大家的心中。VM 其实就是Virtual Machine(虚拟机)的缩写,这里说的VM并不是像VMWare那样的虚拟机,而是将一系列的指令解释成bytecode(字节码)放在一个解释引擎中执行。 2.目前现状的VM应用 VM技术最早的应用我想应该是VB(PCode)吧(瞎猜的),时至今日才
VMProtect虚拟机保护及还原
ZK_1874的博客
04-02 1617
VMProtect虚拟机保护及还原
velocity模板引擎学习(1)
lwjshuai的专栏
03-02 1053
菩提树下的杨过.Net 博客园 首页 博问 闪存 新随笔 订阅 管理 随笔-1066  文章-1  评论-2254  velocity模板引擎学习(1) velocity与freemaker、jstl并称为java web开发三大标签技术,而且velocity在codeplex上还有.net的移
Container架构与Hypervisor(VM)架构的对比
成长的足迹
05-08 3865
一目了然! 参考Nigel Poulton在pluralsight的课程。
简述前端MVVM框架
weixin_45045252的博客
12-17 2514
一张图说明: 1、一句话总结: vm(视图模型)通过接口从后台m(model)请求数据,vm继而和v(view)实现数据的双向绑定。 2、mvc和mvvm的关系: c(控制)被换成了vm(viewmodel) MVVM是Model-View-ViewModel的简写。它本质上就是MVC 的改进版。 mvvm实现了前后端更好的分离(前端需要的数据只需要请求后端的接口即可) 3、MVVM框架编码实例 Vue 的 View 模板: <div id="app"&.
剖析 Linux hypervisor KVM
weixin_34378969的博客
09-17 1398
Linux® 的最重要创新之一就是转变为hypervisor(或运行其他操作系统的操作系统)。现在涌现许多使用 Linux 作为内核的 hypervisor 解决方案。本文探索 hypervisor 背后的原理,以及两个使用 Linux 作为平台的 hypervisor(KVM 和 Lguest)。 hypervisor 之于操作系统类似于操作系统之于进程。它们为执行提供独...
vm16.1.2 去虚拟化
最新发布
08-31
VM16.1.2是一种虚拟化技术,用于创建虚拟机来模拟真实的计算机环境。它的主要应用领域涵盖个人电脑、数据中心和云计算。 首先,VM16.1.2可以提供更高的资源利用率。通过虚拟化技术,我们可以将一台物理服务器划分为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值