新手学习Vmp之控制流程图生成

最新推荐文章于 2024-07-21 18:01:44 发布
最新推荐文章于 2024-07-21 18:01:44 发布
阅读量800 收藏
点赞数
文章标签: 学习 流程图 数学建模
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60961651/article/details/131262015
版权

新手学习Vmp之控制流程图生成

控制流程图的生成对于反混淆分析来说是非常重要的一步,这里记录一下我研究的过程,以Vmp2为例子。

这里我的环境准备如下:

Visual Studio + IDA SDK + Capstone + Unicorn + Graphviz

IDA SDK插件环境,主要是有一些API可以调用,方便编写代码,X64Dbg插件环境可以替代之。

Capstone,一个很不错的反汇编引擎,IDA自带的反汇编引擎不太好用,用这个替代之。

Unicorn,指令模拟执行,用来跟踪指令。

Graphviz,一个绘图工具,可以将控制流程图可视化。

要生成流程图,首先使用unicron引擎对指令进行跟踪,大致步骤如下:

1、使用uc_mem_map和uc_mem_write函数填充内存区域和堆栈

2、uc_hook_add设置监视函数,每次执行指令前检查退出条件,例如当前指令位于text区段且上一条指令是ret的时候,基本上就是vmp结束的时候了。

3、uc_emu_start进行trace,拿到所有的指令跟踪数组。

之后是根据这些地址动态生成控制流程图,这里需要了解一下基本块这个概念。

核心逻辑如下:

bool VmpTraceFlowGraph::GenerateBasicFlowData(std::vector<ea_t>& traceList)

{

        if (!traceList.size()) {

                return false;

        }

        cs_insn* curIns;

        VmpTraceFlowNode* currentNode = createNode(traceList[zxsq-anti-bbcode-0]);;

        for (unsigned int n = 0; n < traceList.size(); ++n) {

                const ea_t& curAddr = traceList[zxsq-anti-bbcode-n];

                if (!DisasmManager::DecodeInstruction(curAddr, curIns)) {

                        return false;

                }

                //不管是什么指令,都立即追加到当前基本块

                if (!currentNode->bTraced) {

                        currentNode->addrList.push_back(curAddr);

                        updateInstructionToBlockMap(curAddr, currentNode);

                }

                //判断是否为终止指令

                if (isEndIns(curIns)) {

                        //检查是否为最后一条指令

                        if (n + 1 >= traceList.size()) {

                                break;

                        }

                        currentNode->bTraced = true;

                        //这里开始进行核心判断

                        ea_t nextNodeAddr = traceList[n + 1];

                        VmpTraceFlowNode* nextNode = instructionToBlockMap[zxsq-anti-bbcode-nextNodeAddr];

                        linkEdge(curAddr, nextNodeAddr);

                        //下一个节点是新节点

                        if (!nextNode) {

                                currentNode = createNode(nextNodeAddr);

                        }

                        //已访问过该节点,且节点指向Block头部

                        else if (nextNode->nodeEntry == nextNodeAddr) {

                                currentNode = nextNode;

                        }

                        else {

                                //节点指向已有区块其它地址,需要对区块进行分割

                                currentNode = splitBlock(nextNode, nextNodeAddr);

                        }

                }

        }

        return true;

}

再进行节点合并优化,核心代码是这样的:

void VmpTraceFlowGraph::MergeNodes()

{

        //已确定无法合并的节点

        std::set<ea_t> badNodeList;

        bool bUpdateNode;

        do

        {

                bUpdateNode = false;

                std::map<ea_t, VmpTraceFlowNode>::iterator it = nodeMap.begin();

                while (it != nodeMap.end()) {

                        ea_t nodeAddr = it->first;

                        if (badNodeList.count(nodeAddr)) {

                                it++;

                                continue;

                        }

                        //判断合并条件

                        //条件1,指向子节点的边只有1条

                        if (toEdges[zxsq-anti-bbcode-nodeAddr].size() == 1) {

                                ea_t fromAddr = *toEdges[zxsq-anti-bbcode-nodeAddr].begin();

                                VmpTraceFlowNode* fatherNode = instructionToBlockMap[zxsq-anti-bbcode-fromAddr];

                                //条件2,父节点指向的边也只有1条

                                if (fromEdges[zxsq-anti-bbcode-fromAddr].size() == 1) {

                                        //条件3,子节点不能指向父节点

                                        if (!fromEdges[zxsq-anti-bbcode-nodeAddr].count(fatherNode->addrList[fatherNode->addrList.size() - 1])) {

                                                executeMerge(fatherNode, &it->second);

                                                bUpdateNode = true;

                                                it = nodeMap.erase(it);

                                                continue;

                                        }

                                }

                        }

                        badNodeList.insert(nodeAddr);

                        it++;

                }

        } while (bUpdateNode);

}

最后是将流程图转换成dot语言,核心代码如下:

std::string VmpTraceFlowGraph::DumpGraph()

{

        std::stringstream ss;

        ss << "strict digraph \"hello world\"{\n";

        cs_insn* tmpIns = 0x0;



        char addrBuffer[zxsq-anti-bbcode-0x10];

        for (std::map<ea_t, VmpTraceFlowNode>::iterator it = nodeMap.begin(); it != nodeMap.end(); ++it) {

                VmpTraceFlowNode& node = it->second;

                sprintf_s(addrBuffer, sizeof(addrBuffer), "%08X", it->first);

                ss << "\"" << addrBuffer << "\"[label=\"";

                for (unsigned int n = 0; n < node.addrList.size(); ++n) {

                        //测试代码

                        if (n > 20 && (n != node.addrList.size() - 1)) {

                                continue;

                        }

                        DisasmManager::DecodeInstruction(node.addrList[zxsq-anti-bbcode-n], tmpIns);

                        sprintf_s(addrBuffer, sizeof(addrBuffer), "%08X", node.addrList[zxsq-anti-bbcode-n]);

                        ss << addrBuffer << "\t" << tmpIns->mnemonic << " " << tmpIns->op_str << "\\n";

                }

                ss << "\"];\n";

        }



        for(std::map<ea_t, std::unordered_set<ea_t>>::iterator it = fromEdges.begin(); it != fromEdges.end(); ++it){

                std::unordered_set<ea_t>& edgeList = it->second;

                for (std::unordered_set<ea_t>::iterator edegIt = edgeList.begin(); edegIt != edgeList.end(); ++edegIt) {

                        VmpTraceFlowNode* fromBlock = instructionToBlockMap[it->first];

                        sprintf_s(addrBuffer, sizeof(addrBuffer), "%08X", fromBlock->nodeEntry);

                        ss << "\"" << addrBuffer << "\" -> ";

                        sprintf_s(addrBuffer, sizeof(addrBuffer), "%08X", *edegIt);

                        ss << "\"" << addrBuffer << "\";\n";

                }

        }

        ss << "\n}";

        return ss.str();

}

得到文件后,调用dot命令行打印出流程图

dot graph.txt -T png -o vmp2.png

最后得到的结果是这样的
 


 

夜栩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
python如何自动生成流程图
zhangzhechun的专栏
03-11 7527
在上面的示例代码中,我们将format属性设置为’png’,然后使用render方法将流程图保存为PNG格式的图片文件。同时,我们使用filename属性指定文件名为’simple-process’,使用directory属性指定保存到当前工作目录中,使用cleanup属性设置为True,以便在渲染结束后自动删除生成的中间文件。运行上述代码后,会生成一个名为simple-process.gv的文件,并在浏览器中自动打开该文件,展示生成流程图
第22节 控制结构及流程图
m0_51439429的博客
03-16 1452
一.流程图的三种基本结构 二.用流程图描述程序设计的方案 “程序流程图”,是一种传统的算法表示方法。程序流程图利用图形化的符号框来代表各种不同性质的操作,并用流程线来连接这些操作。 #include <stdio.h> int main() { int a, b, c; scanf_s("%d %d", &a, &b); if (a > b) { c = a; } else { c = b; } pritnf("max=%d", c); }
编译原理之基本块和流图
Vincent的博客
11-26 1万+
基本块和流图 •采用图的方式表示中间代码,有助于生成更好的代码 ä构造方法 1.把中间代码划分成基本块(basic block,BB),每个基本块满足如下条件: ①控制流只能从基本块的第一个指令进入 ②除了基本块的最后一条指令,控制流在离开基本块前不会停机或者跳转 2.基本块形成了流图(flow graph)的结点,流图的边指明了哪些基本块可能紧随一个基本块之后执行 ä中断等程序行为...
VMAttack:IDA Pro插件,虚拟化混淆分析利器
gitblog_00057的博客
05-17 329
VMAttack:IDA Pro插件,虚拟化混淆分析利器 项目地址:https://gitcode.com/anatolikalysch/VMAttack 在这个日益复杂的恶意软件世界中,逆向工程师面临着越来越大的挑战——虚拟化基础上的代码混淆技术。但是,有了VMAttack,这一切都变得不再那么艰难。这是一款荣获2016年IDA Pro插件大赛二等奖的插件,专为静态和动态分析虚拟化混淆代码而设计...
VMAttack 2016出的最新的分析vmpida插件源码
01-20
2016公布的最棒的ida插件,英文版,源码,python写的,可以自动半自动分析vmp源码,非常棒的ida插件源码
新手学习Vmp控制流程图生成源代码
06-17
控制流程图生成对于反混淆分析来说是非常重要的一步,这里记录一下我研究的过程,以Vmp2为例子。 这里我的环境准备如下: Visual Studio + IDA SDK + Capstone + Unicorn + Graphviz IDA SDK插件环境,主要是有...
试卷生成工具单机版.vmp试卷生成工具单机版.vmp
04-17
试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp...
VMP学习笔记之ESI伪代码生成与加密(六)1
08-03
在本篇VMP学习笔记中,我们探讨了ESI伪代码的生成与加密,这是第六章节的第一部分。本文主要关注的是如何构造ESI指令以及如何对其进行加密,以确保程序的安全性。 首先,构造ESI指令的基本套路包括三个步骤:处理...
开源一个IDA小插件:修复VMP dump导入函数
yan_star的博客
01-19 2502
简述: 通常我们在静态分析vmp加壳后的程序或者驱动时,都会选择将其跑开然后看dump文件。但是vmp会将某些函数地址进行混淆,所以当我们想看一个函数时,常常会见到如下图所示代码段: 面对上述情况,我之前一般都是默默的打开计算器,人肉去算地址,然后看落在哪个模块上,把对应模块扣出来,改基址,接着根据算出的地址看是哪个对应函数,最后回到dump文件,将名字标上!算一个,两个还能忍,但是当面对无数这样的函数,甚至说你算到最后发现竟然是之前已经标过的函数时,头已经大了。 于是,在经历这样的折磨之后,写了一个ID
VMP分析插件调试VM
07-16
VMP分析插件调试VM
antiVM ida pro插件-快速识别anti-vm行为
jentle8的博客
09-01 415
目的是减少分析人员对抗时间。 ida 插件识别反虚拟机反调试等
VMP分析之VMP2.13流程分析(三)
鬼手的博客
10-10 1665
文章目录VMP2.X版本特点VMP2.13加壳VMP2.13代码分析进入VM虚拟机保存堆栈保存eflags和edx保存ecx和edi保存ebx保存eax保存ebx ebp和esiVM解码循环解密指令流key解密操作码取加密过的handler解密handler解密操作数执行handler功能VMP2.13流程总结 VMP2.X版本特点 2.X版本的VMP相对于1.0版本来说有下面的变化 自我膨胀,增加了大量混淆指令 VM_Context的存放方式由内存改为栈,vmp1区段也没有了 有专门分析插件,可以帮助分
大神论坛 利用活跃变量分析来去掉vmp的大部分垃圾指令
xiaotuge_always的博客
03-13 4036
声明:为了把技术分享给更多的人,在 大神论坛 上发表了,这里也发一份 环境和工具 Windows7 7601 Ida7.5 Python3.8 qiling框架 简介 首先简单介绍一下数据流分析和活跃变量分析。活跃变量分析属于数据流分析的一种,编译器的许多优化都依赖于数据流分析。龙书的简介截图如下 活跃变量分析的用途有删除无用赋值和为基本块分配寄存器。vmp 中的垃圾指令大部分都是些无用赋值,我们可以利用活跃变量分析来删除这些垃圾指令 如上图所示。如果把test指令看作是对eflags寄存器的赋值,
VMP虚拟机加壳的原理学习
weixin_34267123的博客
09-28 1148
好久没有到博客写文章了,9月份开学有点忙,参加了一个上海的一个CHINA SIG信息比赛,前几天又无锡南京来回跑了几趟,签了阿里巴巴的安全工程师,准备11月以后过去实习,这之前就好好待在学校学习了。 这段时间断断续续把《加密与解码 第三版》给看完了,虽然对逆向还是一知半解,不过对VMP虚拟机加壳这块有了一点新的认识。这里分享一些笔记和想法,没有新的东西,都是书上还KSSD里看来的,权当笔记和分享...
控制流图(Control Flow Graph)-(CFG)
热门推荐
阿航的博客
04-21 4万+
1.定义 百度百科: 控制流图(Control Flow Graph, CFG)也叫控制流程图,是一个过程或程序的抽象表现,是用在编译器中的一个抽象数据结构,由编译器在内部维护,代表了一个程序执行过程中会遍历到的所有路径。它用图的形式表示一个过程内所有基本块执行的可能流向, 也能反映一个过程的实时执行过程。 Frances E. Allen于1970年提出控制流图的概念。此后,控制流图成为了编译器优化和静态分析的重要工具。 维基百科: 原文: In a control-flo..
利用IDA的F5来反VMP2.x的Mutation保护
Lixinist的博客
04-08 1621
先说说我对IDA的看法:我怀疑IDA公司有内鬼。 我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。 F5的自动化反混淆很好用,可以清掉vmp2.x的90%的变异代码。 但是交互可能是“内鬼”写的,用起来是真的不舒服,各种多管闲事(删了函数又自动创建出来),交互失灵(做了删函数删变量等等操作,graph和f5都没有变化,需要把当前函数删了重新创建才会变化)。 用IDA...
Python每日学习
最新发布
q2903160397的博客
07-21 2272
我是从c++转来学习Python的,总感觉和c++相比Python的实操简单,但是由于写c++的代码多了,感觉Python的语法好奇怪。由于今天是我正式学Python的第一天,干货不多,以后让我们一步一步来见证Python这个优雅的代码的学习之路吧!),这种格式对于我来说已成习惯了,而这一切Python这个优雅的语言通通没有,学习Python这将是道阻且长。今天就简单了解了一下Python的起源和成长并学习了打印 halloworld,算是开始学习了吧。)而且它每一项的代码结束之后要有一个表示结束的封号(
实现一段js减法的VMP程序演示代码
09-11
### 回答1: var num1 = 10; var num2 = 20; var result = num1 - num2; console.log(result); 答案: console.log(num1 - num2); ### 回答2: VMP(Virtual Machine Program)是一种用于模拟虚拟机的编程语言,通常用于实现一些简单的计算功能。下面是一个用VMP程序演示JS减法的代码: ```vmp .var operand1 .var operand2 .var result .read operand1 .read operand2 .sub result, operand1, operand2 .print result ``` 以上代码首先声明了三个变量:`operand1`,`operand2`和`result`,分别用于存储运算的两个操作数和结果。 接着使用`.read`指令分别从输入中读取两个操作数的值。 然后使用`.sub`指令进行减法运算,将`operand1`减去`operand2`的结果存入`result`中。 最后使用`.print`指令输出结果。 在实际运行该VMP程序时,可以将它与一个VMP虚拟机一起使用,该虚拟机可以解释和执行VMP程序。通过输入两个操作数的值,虚拟机将会返回两个操作数的差作为输出结果。 需要注意的是,以上代码是一个简化的示例,实际的VMP程序可能会更加复杂,包含更多的指令和处理逻辑,以实现更复杂的功能。 ### 回答3: VMP(Virtual Machine Program)是一种虚拟机程序,用于模拟计算机或处理器的行为,并执行特定的指令集。下面是一个使用VMP实现一段JS减法的演示代码: ``` // 假设我们要计算 10 - 5 的结果 // 定义VMP指令集 const VMP_INSTRUCTIONS = [ { name: 'LOAD', // 加载指令 operation: function (registers, operand) { registers['R0'] = operand; } }, { name: 'SUBTRACT', // 减法指令 operation: function (registers, operand) { registers['R0'] -= operand; } }, { name: 'PRINT', // 打印指令 operation: function (registers) { console.log(registers['R0']); } } ]; // 定义VMP虚拟机程序 function runVMPProgram(program) { const registers = { 'R0': 0 // 定义寄存器R0,用于存储运算结果 }; program.forEach(instruction => { const opcode = instruction[0]; // 指令的操作码 const operand = instruction[1]; // 指令的操作数 // 根据操作码找到对应的指令 const vmpInstruction = VMP_INSTRUCTIONS.find(inst => inst.name === opcode); // 执行指令的操作 vmpInstruction.operation(registers, operand); }); } // 定义JS减法的VMP程序 const jsMinusVMPProgram = [ ['LOAD', 10], // 将操作数10加载到寄存器R0中 ['SUBTRACT', 5], // 从寄存器R0中减去操作数5 ['PRINT'] // 打印寄存器R0中的结果 ]; // 执行VMP程序 runVMPProgram(jsMinusVMPProgram); ``` 以上代码演示了如何使用VMP虚拟机程序模拟JS减法操作。首先定义了一组VMP指令集,其中包含LOAD、SUBTRACT和PRINT三种指令。然后定义了一个运行VMP程序的函数,其中通过循环执行指令集中的指令,并传入相应的操作数。最后定义了一个JS减法的VMP程序,将两个操作数10和5分别加载到寄存器R0中,并执行减法操作,最后打印结果。运行VMP程序之后,控制台会输出结果为5。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜栩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值