2012.04.07_天易love_关于VMP调试插件原理的思考

最新推荐文章于 2024-04-03 09:53:57 发布
最新推荐文章于 2024-04-03 09:53:57 发布
阅读量2.2k 收藏
点赞数
分类专栏: Vmprotect 文章标签: 虚拟机 汇编 c 编程 360
以超级大牛hkfans“ vmp2.06全过程分析”一文中的NOTEPAD. vmp.exe作为例子,
讲一下我的理解,错误之处请牛人指正!
  1、如何实现retrieve handler info?
    我觉得主要是找到一张虚拟机指令地址入口表,类似于这样:

81 12 FA FE 43 2C FA FE 92 08 FA FE 69 08 FA FE
E1 1C FA FE 76 03 FA FE BB 25 FA FE 31 00 FA FE
E7 17 FA FE 05 08 FA FE 29 11 FA FE 77 1D FA FE
6E 19 FA FE B7 18 FA FE 5A 2C FA FE 75 2C FA FE
FB 19 FA FE 3E 2C FA FE EC 2C FA FE 8F 2B FA FE
FA 2D FA FE 32 24 FA FE 6C 28 FA FE 1F 1E FA FE
AB 06 FA FE E0 08 FA FE 86 1C FA FE EC 26 FA FE
56 2B FA FE 34 0E FA FE 90 06 FA FE C2 17 FA FE
3A 1B FA FE BB 11 FA FE 76 28 FA FE D1 1D FA FE
CA 1C FA FE 90 26 FA FE 7D 04 FA FE 96 11 FA FE
5C 1D FA FE 55 0F FA FE E0 28 FA FE D7 11 FA FE
10 2A FA FE 70 2D FA FE 03 1F FA FE 76 20 FA FE
2C 16 FA FE DF 03 FA FE 77 07 FA FE A4 23 FA FE
23 2A FA FE E7 06 FA FE 14 16 FA FE AD 0F FA FE

   简单解释一下,例如81 12 FA FE就是0xFEFA1281,只要neg 一下,就变成了0x0105ED7F,到地址0x0105ED7F处看看,有一堆垃圾指令,这里直接给出里面的两条有效指令:
//edi是虚拟寄存器的基地址 eax定位其中的哪一个寄存器,这里是取出某个虚拟寄存器的值
0105FF84    8B1438          mov     edx, dword ptr [eax+edi] 
//ebp是VESP,再把这个值压入虚拟栈
01060000    8955 00         mov     dword ptr [ebp], edx  
这条虚拟机指令前人起名叫做 vm_pushdw_regdw
为什么要neg 一下?直接上代码

0105E4AF    8B1485 0EF20501 mov     edx, dword ptr [eax*4+105F20E] //105F20E 表地址
0105E4B6    F9              stc
0105E4B7    F7DA            neg     edx  //看到了吗
0105E4B9    F9              stc
0105E4BA    F5              cmc
0105E4BB    81C2 00000000   add     edx, 0  //等于没加
0105E4C1  ^ E9 33FBFFFF     jmp     0105DFF9

    内存中的一张表0x400字节,去除里面重复的,实际就是前面给出的那张表:
0105F20E  81 12 FA FE 43 2C FA FE 92 08 FA FE 92 08 FA FE  ?C,??
0105F21E  69 08 FA FE E1 1C FA FE 76 03 FA FE BB 25 FA FE  i?v?
0105F22E  31 00 FA FE E1 1C FA FE E7 17 FA FE E7 17 FA FE  1.???
0105F23E  05 08 FA FE 29 11 FA FE 77 1D FA FE 6E 19 FA FE  )wn
0105F24E  B7 18 FA FE 31 00 FA FE 5A 2C FA FE 69 08 FA FE  ?1.Z,i
0105F25E  75 2C FA FE FB 19 FA FE 77 1D FA FE 3E 2C FA FE  u,?w>,
0105F26E  EC 2C FA FE 8F 2B FA FE 3E 2C FA FE FA 2D FA FE  ??>,?
0105F27E  05 08 FA FE 32 24 FA FE 6C 28 FA FE 76 03 FA FE  2$l(v
0105F28E  1F 1E FA FE BB 25 FA FE AB 06 FA FE E0 08 FA FE  ???
0105F29E  69 08 FA FE 86 1C FA FE 6E 19 FA FE 8F 2B FA FE  i?n?
0105F2AE  BB 25 FA FE E7 17 FA FE EC 26 FA FE E0 08 FA FE  ????
0105F2BE  56 2B FA FE EC 26 FA FE 34 0E FA FE 76 03 FA FE  V+?4v
0105F2CE  86 1C FA FE 90 06 FA FE 76 03 FA FE 34 0E FA FE  ??v4
0105F2DE  C2 17 FA FE E1 1C FA FE 76 03 FA FE 86 1C FA FE  ??v?
0105F2EE  34 0E FA FE 5A 2C FA FE FB 19 FA FE 3A 1B FA FE  4Z,?:
0105F2FE  31 00 FA FE BB 11 FA FE 05 08 FA FE 76 03 FA FE  1.?v
0105F30E  76 28 FA FE D1 1D FA FE C2 17 FA FE AB 06 FA FE  v(???
0105F31E  CA 1C FA FE 90 26 FA FE 7D 04 FA FE 96 11 FA FE  ??}?
0105F32E  E0 08 FA FE 3E 2C FA FE 5C 1D FA FE 90 06 FA FE  ?>,\?
0105F33E  3A 1B FA FE 55 0F FA FE 5A 2C FA FE AB 06 FA FE  :UZ,?
0105F34E  29 11 FA FE 76 28 FA FE E1 1C FA FE EC 26 FA FE  )v(??
0105F35E  32 24 FA FE 8F 2B FA FE E0 28 FA FE D7 11 FA FE  2$???
0105F36E  FA 2D FA FE CA 1C FA FE 34 0E FA FE 10 2A FA FE  ??4*
0105F37E  70 2D FA FE 03 1F FA FE C2 17 FA FE B7 18 FA FE  p-??
0105F38E  76 20 FA FE 5C 1D FA FE 2C 16 FA FE BB 11 FA FE  v \,?
0105F39E  34 0E FA FE DF 03 FA FE C2 17 FA FE 8F 2B FA FE  4???
0105F3AE  5C 1D FA FE 5A 2C FA FE E1 1C FA FE 77 1D FA FE  \Z,?w
0105F3BE  77 07 FA FE 76 20 FA FE 90 06 FA FE FB 19 FA FE  wv ??
0105F3CE  56 2B FA FE 55 0F FA FE EC 2C FA FE 96 11 FA FE  V+U??
0105F3DE  76 03 FA FE 76 03 FA FE 5A 2C FA FE 03 1F FA FE  vvZ,
0105F3EE  55 0F FA FE 31 00 FA FE FB 19 FA FE B7 18 FA FE  U1.??
0105F3FE  3E 2C FA FE 92 08 FA FE 34 0E FA FE A4 23 FA FE  >,?4?
0105F40E  86 1C FA FE AB 06 FA FE 3A 1B FA FE 3A 1B FA FE  ??::
0105F41E  E7 17 FA FE BB 11 FA FE E0 28 FA FE 23 2A FA FE  ???#*
0105F42E  1F 1E FA FE 31 00 FA FE 90 26 FA FE 5A 2C FA FE  1.?Z,
0105F43E  BB 25 FA FE 56 2B FA FE 10 2A FA FE 3A 1B FA FE  ?V+*:
0105F44E  E1 1C FA FE E0 08 FA FE 6C 28 FA FE 3E 2C FA FE  ??l(>,
0105F45E  FA 2D FA FE E7 06 FA FE 70 2D FA FE 03 1F FA FE  ??p-
0105F46E  90 06 FA FE 96 11 FA FE 6E 19 FA FE 75 2C FA FE  ??nu,
0105F47E  32 24 FA FE A4 23 FA FE BB 11 FA FE 6E 19 FA FE  2$??n
0105F48E  92 08 FA FE 6E 19 FA FE 7D 04 FA FE E7 17 FA FE  ?n}?
0105F49E  D1 1D FA FE 14 16 FA FE 10 2A FA FE 70 2D FA FE  ?*p-
0105F4AE  31 00 FA FE 3A 1B FA FE 2C 16 FA FE 32 24 FA FE  1.:,2$
0105F4BE  14 16 FA FE B7 18 FA FE 77 07 FA FE FB 19 FA FE  ?w?
0105F4CE  EC 26 FA FE 23 2A FA FE C2 17 FA FE E1 1C FA FE  ?#*??
0105F4DE  05 08 FA FE 70 2D FA FE 32 24 FA FE E7 17 FA FE  p-2$?
0105F4EE  D7 11 FA FE D1 1D FA FE BB 25 FA FE 76 03 FA FE  ???v
0105F4FE  BB 11 FA FE BB 11 FA FE 14 16 FA FE E7 06 FA FE  ???
0105F50E  31 00 FA FE 3E 2C FA FE 86 1C FA FE 90 06 FA FE  1.>,??
0105F51E  81 12 FA FE 43 2C FA FE 86 1C FA FE 05 08 FA FE  ?C,?
0105F52E  81 12 FA FE 43 2C FA FE BB 11 FA FE 5C 1D FA FE  ?C,?\
0105F53E  81 12 FA FE 43 2C FA FE 69 08 FA FE 70 2D FA FE  ?C,ip-
0105F54E  81 12 FA FE 43 2C FA FE 92 08 FA FE 5A 2C FA FE  ?C,?Z,
0105F55E  81 12 FA FE 43 2C FA FE E1 1C FA FE AB 06 FA FE  ?C,??
0105F56E  81 12 FA FE 43 2C FA FE EC 2C FA FE 86 1C FA FE  ?C,??
0105F57E  81 12 FA FE 43 2C FA FE A4 23 FA FE 3E 2C FA FE  ?C,?>,
0105F58E  81 12 FA FE 43 2C FA FE 7D 04 FA FE 75 2C FA FE  ?C,}u,
0105F59E  81 12 FA FE 43 2C FA FE A4 23 FA FE E0 28 FA FE  ?C,??
0105F5AE  81 12 FA FE 43 2C FA FE 55 0F FA FE AB 06 FA FE  ?C,U?
0105F5BE  81 12 FA FE 43 2C FA FE 14 16 FA FE 31 00 FA FE  ?C,1.
0105F5CE  81 12 FA FE 43 2C FA FE 6C 28 FA FE 92 08 FA FE  ?C,l(?
0105F5DE  81 12 FA FE 43 2C FA FE 8F 2B FA FE 90 26 FA FE  ?C,??
0105F5EE  81 12 FA FE 43 2C FA FE EC 26 FA FE AD 0F FA FE  ?C,??
0105F5FE  81 12 FA FE 43 2C FA FE FB 19 FA FE C2 17 FA FE  ?C,??

   至于这张表为什么要有重复的入口地址,我认为可以让不同的虚拟字节码实现同样的功能,
一条实际的指令对应多个字节码,增加了字节码的多样性,目的就是让你的头更大!还有个原因就是凑字数吧,以前写作文不就是这样干的吗?

   归根到底有多少虚拟指令,只要去掉重复的就可以了,化简后的上面那张表就只有56条。

   你要问我怎么找到这个表地址的,答案很简单。在OEP处一直F7就OK了,顶多1分钟吧!
如果你人又懒,水平又高,可以用下面个函数,写个OD插件:
OllyDbg._Readcommand
OllyDbg._Disasm
    从OEP处读一条指令,反汇编一条,周而复始,找到下面这个地方就可以停下来了。先提取出表地址,再从0x400字节中提取出不重复的地址。

0105E4AF    8B1485 0EF20501 mov     edx, dword ptr [eax*4+105F20E] //105F20E 表地址
0105E4B6    F9              stc
0105E4B7    F7DA            neg     edx  
0105E4B9    F9              stc
0105E4BA    F5              cmc
0105E4BB    81C2 00000000   add     edx, 0   
0105E4C1  ^ E9 33FBFFFF     jmp     0105DFF9

    有了这张表,你就可以做一张指令查找表了。前面举例已经讲了第一条,再讲简化表的最后一条,让你彻底搞懂。
AD 0F FA FE 对应0xFEFA0FAD,NEG一下就是0x0105F053,到那里提取出有效指令如下:
0105FA9B    8B45 00         mov     eax, dword ptr [ebp]
0105E706    8B00            mov     eax, dword ptr [eax]
0106013B    8945 00         mov     dword ptr [ebp], eax
    前人取了名字VM_READdw_MEMdw,感觉还要适应!依次类推,做个虚拟指令查找表。

2、如何反汇编虚拟机字节码?

    假如VEIP(esi=010375AC),也就是指向下面7个字节的尾部字节,这个记事本例子中esi是逐渐变小的。

//B1就是010375AC处的虚拟机字节码                   
010375A6  9C A3 36 12 DB B0 B1   

  超级大牛hkfans的VMP插件可以从该处反汇编得到:
010375AC    C9                        pop       r14 
010375AB    58 C0C49CBB       push      BB9CC4C0         
010375A6    40                         add       dword   
    它是怎么来的?

   我们从OD中可以提取到以下有效指令,显示了从B1变为C9的全过程,上一条虚拟指令地址参与了计算。
0105E1B4    30D8            xor     al, bl //al=B1  ebx=010375AD (上一条虚拟指令地址)
0105DA77    FEC8            dec     al     // al=1c-1=1b
0105DD64    D0C0            rol     al, 1  //al=36
0105DD6E    F6D0            not     al     //al=c9
0105E49C    0FB6C0          movzx   eax, al  //eax=000000C9

现在得到:010375AC    C9   
根据计算公式求出虚拟指令入口地址如下: 
0105E4AF    8B1485 0EF20501 mov     edx, dword ptr [eax*4+105F20E] //105F20E 表地址
0105E4B7    F7DA            neg     edx  
虚拟指令入口地址edx=neg([c9*4+105F20E]) =neg(FEFA2C43)=0x0105D3BD
有了这个入口地址,再查一下事先做好的指令表就可以得到虚拟机的汇编指令了。

   这里我们到0105D3BD处提取出有效指令如下:
0105DC99    F6D8            neg     al  //neg(c9)=37
0105DC9D    FEC0            inc     al  //al=38
0105DCA8    24 3C           and     al, 3C  //al=38
0105DCB3    8B55 00         mov     edx, dword ptr [ebp] //虚拟机退栈
01060092    83C5 04         add     ebp, 4
01060096    891438          mov     dword ptr [eax+edi], edx //al=38  保存到虚拟机的寄存器r14中

这里al=0x38  0x38/4=0xe 即保存到r14中,注意r0是第一个虚拟寄存器。
显然我们可以用pop r14来表示上面的操作。
这样反汇编010375AC处的字节码可以得到:
010375AC    C9     pop       r14 

    周而复始,依次类推,反汇编的原理我就只能猜出这么多了,如果你是编程高手,应该可以知道怎么做VMP调试插件了吧?

   至于单步,F4等功能,我想可能在异常处理循环中,判断esi的值,根据断点地址(想要断下时的esi值),可以在那个地方下个内存断点,当虚拟机访问那里取字节码时就可以断下。
gold2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VMP分析插件调试VM
07-16
VMP分析插件调试VM
vmp 脱壳 插件
09-18
vmp 脱壳 插件 有不错的视频教程,还有插件
推荐开源项目:VMP_ODPlugin - 一款高效的数据处理插件
最新发布
gitblog_00061的博客
04-03 268
推荐开源项目:VMP_ODPlugin - 一款高效的数据处理插件 项目地址:https://gitcode.com/OoWoodOne/VMP_ODPlugin VMP_ODPlugin 是一个基于Python开发的数据处理插件,主要为VMPlayer(Virtual Machine Player)提供强大的数据分析和操作功能。该项目旨在简化虚拟机中数据的收集、分析和管理过程,对于IT专业人士和...
VMP分析之VMP2.13插件化分析(四)
鬼手的博客
10-10 2231
文章目录Zeus插件相关介绍初始化Key并解密加载操作码解密操作码取handler解密handler进入handler保存堆栈指令流解密KeyVMP分析插件相关介绍VM分析插件的使用插件化分析VM代码VM指令集说明FKVMP相关介绍使用方法VMSweeper相关介绍使用方法 Zeus插件 相关介绍 开发者: ximo 更新时间:2012-1 可以分析VM的基本信息,包括解析VM入口信息及handler名,大致是阉割版fkvmp(无解析流程功能) 可以自动脱壳保护的壳,包括IAT,资源保护,heap ant
编译后自动添加VMP插件-易语言
06-12
上图是未加VMP时,下图是已加VMP 添加VMP加密会影响执行效率,请适当使用。 VMP版本为2.13.8
api.zip_API_UVB_天易api文档_天易接口
09-24
《API_UVB_天易api文档_天易接口》是一个关于天易平台接口开发的重要资料集,主要包含点卡支付、综合渠道支付以及网银支付等关键接口的开发指南。这个压缩包为开发者提供了详尽的接口规范和示例代码,帮助他们更好地...
HX3313_Programmer_Guide_V04.pdf
11-17
天易合芯出品的光学数字式心率传感器是一个高性能,低功耗,高精度,低成本,应用广泛的一款传感器。不仅可以测试心率,同时还可以测量收缩压、扩张压,广泛应用于智能健康终端设备中。
天易成上网行为管理软件内网管理插件的安装方法.docx
03-08
天易成上网行为管理软件是一款专业的企业级网络监控解决方案,旨在帮助企业有效管理和控制内部网络的使用情况,提高员工的工作效率并保障网络安全。该软件通过内网管理插件实现对内部计算机的监控,以下将详细介绍其...
天易用专业型密钥生成程序.rar
10-23
标题中的“域天易用专业型密钥生成程序”指的是一个特定的软件工具,主要用于创建和分析与“域天易用专业型”软件相关的授权密钥。这种密钥通常用于验证用户对软件的合法使用权,是软件版权保护的重要手段。 在描述...
EWSA v5.0.252 天易love完美破解版
04-22
EWSA v5.0.252 CracKed By 天易love 请先安装官方原版软件(注意版本号),再将破解补丁放入程序目录即可,内含测试握手包和字典。真正能用的ewsa 5.0破解版!
VMAttack 2016出的最新的分析vmp的ida插件源码
01-20
2016公布的最棒的ida插件,英文版,源码,python写的,可以自动半自动分析vmp源码,非常棒的ida插件源码
fkvmp OD 插件
07-29
fkvmp OD 插件 调试VMP OD 插件
vmp分析文章
06-15 209
https://www.52pojie.cn/thread-695729-1-1.html https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458288045&idx=1&sn=ae97f4d1575915343a31390d90dd3fcf&chksm=...
一次vmp函数的分析 suctf re400
qq_41071646的博客
08-30 630
最近太难了 好多比赛 打比赛 看题解啥的 都没有时间写博客了 然后 也在看0day安全那本书 这个是一个老哥给我发的一个题目 他和我说 在做一道题 然后是vmp的 然后我就来试一试 先打开ida 看一下 然后 看一下 vmp保护壳的内容 然后 发现确实是vmp 然后找了几个插件 发现这个插件是可以用的 https://bbs.pediy.com/thread-15...
VMP分析之VMP2.13流程分析(三)
鬼手的博客
10-10 1652
文章目录VMP2.X版本特点VMP2.13加壳VMP2.13代码分析进入VM虚拟机保存堆栈保存eflags和edx保存ecx和edi保存ebx保存eax保存ebx ebp和esiVM解码循环解密指令流key解密操作码取加密过的handler解密handler解密操作数执行handler功能VMP2.13流程总结 VMP2.X版本特点 2.X版本的VMP相对于1.0版本来说有下面的变化 自我膨胀,增加了大量混淆指令 VM_Context的存放方式由内存改为栈,vmp1区段也没有了 有专门分析插件,可以帮助分
HpmbCalc破解笔记 by 天易love
ty_love's space
01-09 2651
总共修改3处,分别如下: 在每次点击弹出注册窗口时都会执行: 00413EAA  |.  50            PUSH EAX 00413EAB  |.  51            PUSH ECX 00413EAC  |.  52            PUSH EDX 00413EAD  |.  FF15 00904400 CALL DWORD PTR DS:[;  ADV
2010.12.23_天易love_深入浅出VMP爆破
记录点滴
05-07 2387
标 题: 【原创】深入浅出VMP爆破 作 者: 天易love 时 间: 2010-12-23,21:32:07 链 接: http://bbs.pediy.com/showthread.php?t=127020 http://pan.baidu.com/netdisk/singlepublic?fid=140670_2407013133
计算机云教室VMP,冷小黑od过检测插件
weixin_34749016的博客
06-21 1884
冷小黑od过检测插件2021是一款最新的无视E盾/VMP等检测的od破盾插件,可以用于为每个计算机提供驱动程序调试和管理功能,以便在使用各种硬件驱动程序时可以为计算机提供更安全的保护,软件能实时通过鼠标、键盘检测虚拟机,让你随时可以畅快的玩游戏!使用技巧冷小黑OD过检测是一款非常好用的游戏虚拟机过检测工具,它可以帮助用户进行游戏专用虚拟机过检测,附键鼠同步器,完美解决虚拟机多开过检测,去除虚拟化虚...
<转>vmp3.0.9全保护拆分解析
weixin_33691817的博客
10-03 1129
以下为了避免插件干扰,故采用x64dbg原版进行分析。 首先我通过检测到调试器的弹窗进行栈回溯,定位到该关键点:CALL eax   由于才接触Vmp,所以是把各个保护拆分开来进行的分析,会比较简单一些,不过全保护其实也就是凑在一起罢了,只要注意顺序就行啦。   本帖只是分析基础保护反调试虚拟机等,不涉及还原VM和分析VM代码的部分。属于新手贴一类,适合萌新观看,大佬轻喷,有错...
昆明天易集团绩效管理与KPI设计
"企业绩效管理计划书.docx 是一份关于昆明天易集团的绩效管理文档,内容涵盖企业介绍、组织架构、关键绩效指标(KPI)设计、绩效监控、评价和反馈等多个方面。文档详述了企业的核心产业、资产规模、组织结构以及各...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值