vm题算是逆向中比较难的一种题型了,就在这里详细的记录一下。
原理
程序运行时通过解释操作码(opcode)选择对应的函数(handle)执行。
vm_start
进行初始化工作。在这个函数里,规定了有几个寄存器,以及有几种不同的操作。
这样看不明显,创建结构体修复一下,结构体长这个样子
typedef struct
{
unsigned long R0; //寄存器
unsigned long R1;
unsigned long R2;
unsigned long R4;
unsigned char *rip; //指向正在解释的opcode地址
vm_opcode op_list[OPCODE_N]; //opcode列表,存放了所有的opcode及其对应的处理函数
}vm_cpu;
typedef struct
{
unsigned long opcode;
void (*handle)(void*);
}vm_opcode;
修复完的初始化函数
vm_start
void vm_start(vm_cpu *cpu)
{
cpu->eip = (unsigned char*)opcodes; //这里不是在上面就初始化过了吗???
while((*cpu->eip) != 0xf4)//如果opcode不为RET,就调用vm_dispatcher来解释执行
{
vm_dispatcher(*cpu->eip)
}
}
如果rip指向的操作码为F4就返回。
vm_dispatcher
调度器,任务是根据opcode选择函数执行
void vm_dispatcher(vm_cpu *cpu)
{
int i;
for(i = 0; i < OPCODE_N; i++)
{
if(*cpu->eip == cpu->op_list[i].opcode)
{
cpu->op_list[i].handle(cpu);
break;
}
}
}
循环,找到opcode对应的函数。
参考链接:
系统学习vm虚拟机逆向_vmware 逆向-CSDN博客
实战
【GWCTF2019babyvm】
分析opcode
知道了原理之后,就可以分析题目加深理解了。
主要分析vm_ini函数,搞清楚opcode对应的操作
0xF1
可以把这个当作mov指令
v2 = (int *)(a1->_rip + 2);
v2指向当前指令往后偏移两个字节的位置。
a1->_rip += 6LL;
说明这条指令的大小为6字节。
可以看出这条指令可以将复制一些值到寄存器,也可以将寄存器的值复制过去。
拿第一组数据来看,a1->rip+1是0xE1,那么将input[*v2]的值存入寄存器R0,也就是R0=input[0]
0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00
0xF2
R0=R0^R1,指令长度1字节。
0xF5
读取输入并判断长度。
0xF4
空操作,nop,作用是将rip+1。
0xF7
R0*=R3,指令长度为1。
0xF8
交换R0和R1的数值。
0xF6
R0=R2+2*R1+3*R0
翻译
#include<stdio.h>
void myswap(char*a,char*b);
int main()
{
unsigned char opcode[575] = {
0xF5, 0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x20, 0x00, 0x00, 0x00, 0xF1, 0xE1,
0x01, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x21, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x02, 0x00, 0x00,
0x00, 0xF2, 0xF1, 0xE4, 0x22, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x03, 0x00, 0x00, 0x00, 0xF2, 0xF1,
0xE4, 0x23, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x04, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x24, 0x00,
0x00, 0x00, 0xF1, 0xE1, 0x05, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x25, 0x00, 0x00, 0x00, 0xF1,
0xE1, 0x06, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x26, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x07, 0x00,
0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x27, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x08, 0x00, 0x00, 0x00, 0xF2,
0xF1, 0xE4, 0x28, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x09, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x29,
0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0A, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2A, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x0B, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2B, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0C,
0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2C, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0D, 0x00, 0x00, 0x00,
0xF2, 0xF1, 0xE4, 0x2D, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0E, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4,
0x2E, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0F, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2F, 0x00, 0x00,
0x00, 0xF1, 0xE1, 0x10, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x30, 0x00, 0x00, 0x00, 0xF1, 0xE1,
0x11, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x31, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x12, 0x00, 0x00,
0x00, 0xF2, 0xF1, 0xE4, 0x32, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x13, 0x00, 0x00, 0x00, 0xF2, 0xF1,
0xE4, 0x33, 0x00, 0x00, 0x00, 0xF4, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0xF5, 0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x01, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4,
0x00, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x01, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x02, 0x00, 0x00, 0x00,
0xF2, 0xF1, 0xE4, 0x01, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x02, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x03,
0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x02, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x03, 0x00, 0x00, 0x00,
0xF1, 0xE2, 0x04, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x03, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x04,
0x00, 0x00, 0x00, 0xF1, 0xE2, 0x05, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x04, 0x00, 0x00, 0x00,
0xF1, 0xE1, 0x05, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x06, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x05,
0x00, 0x00, 0x00, 0xF1, 0xE1, 0x06, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x07, 0x00, 0x00, 0x00, 0xF1,
0xE3, 0x08, 0x00, 0x00, 0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, 0xF6, 0xF7, 0xF1, 0xE4, 0x06,
0x00, 0x00, 0x00, 0xF1, 0xE1, 0x07, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x08, 0x00, 0x00, 0x00, 0xF1,
0xE3, 0x09, 0x00, 0x00, 0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, 0xF6, 0xF7, 0xF1, 0xE4, 0x07,
0x00, 0x00, 0x00, 0xF1, 0xE1, 0x08, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x09, 0x00, 0x00, 0x00, 0xF1,
0xE3, 0x0A, 0x00, 0x00, 0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, 0xF6, 0xF7, 0xF1, 0xE4, 0x08,
0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0D, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x13, 0x00, 0x00, 0x00, 0xF8,
0xF1, 0xE4, 0x0D, 0x00, 0x00, 0x00, 0xF1, 0xE7, 0x13, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0E, 0x00,
0x00, 0x00, 0xF1, 0xE2, 0x12, 0x00, 0x00, 0x00, 0xF8, 0xF1, 0xE4, 0x0E, 0x00, 0x00, 0x00, 0xF1,
0xE7, 0x12, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0F, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x11, 0x00, 0x00,
0x00, 0xF8, 0xF1, 0xE4, 0x0F, 0x00, 0x00, 0x00, 0xF1, 0xE7, 0x11, 0x00, 0x00, 0x00,0xf4};
//翻译
for (int i = 0; i < 575; )
{
if (opcode[i] == 0xf1) // mov
{
switch (opcode[i+1])
{
case 0xE1:
//a1->R0 = *((char *)input + *v2);
printf("R0=input[%d]\n",*(int*)&opcode[i+2]);
break;
case 0xE2:
//a1->R1 = *((char *)input + *v2);
printf("R1=input[%d]\n",*(int*)&opcode[i+2]);
break;
case 0xE3:
//a1->R2 = *((char *)input + *v2);
printf("R2=input[%d]\n",*(int*)&opcode[i+2]);
break;
case 0xE4:
//*((_BYTE *)input + *v2) = a1->R0;
printf("input[%d]=R0\n",*(int*)&opcode[i+2]);
break;
case 0xE5:
//a1->R3 = *((char *)input + *v2);
printf("R3=input[%d]\n",*(int*)&opcode[i+2]);
break;
case 0xE7:
//*((_BYTE *)input + *v2) = a1->R1;
printf("input[%d]=R1\n",*(int*)&opcode[i+2]);
break;
default:
printf("mov wrong!!!!!\n");
break;
}
i+=6;
}
else if (opcode[i] == 0xf2) // xor
{
printf("R0=R0^R1\n");
i+=1;
}
else if (opcode[i] == 0xf5) // scanf
{
printf("please input:\n");
i+=1;
}
else if (opcode[i] == 0xf4) // nop
{
printf("0xF4 nop\n");
printf("\n");
i+=1;
}
else if (opcode[i] == 0xf7) //*
{
printf("R0*=R3\n");
i+=1;
}
else if (opcode[i] == 0xf8) // change
{
printf("change(R0,R1)\n");
i+=1;
}
else if (opcode[i] == 0xf6) //
{
printf("R0=R2+2*R1+3*R0\n");
i+=1;
}
else if(opcode[i]==0)
{
printf("nop\n");
i++;
}
}
printf("over!!");
return 0;
}
得到了两段程序,第一个是简单的异或
please input: R1=18
R0=input[0]
R0=R0^R1 //input0^18
input[32]=R0
R0=input[1]
R0=R0^R1
input[33]=R0
R0=input[2]
R0=R0^R1
input[34]=R0
R0=input[3]
R0=R0^R1
input[35]=R0
R0=input[4]
R0=R0^R1
input[36]=R0
R0=input[5]
R0=R0^R1
input[37]=R0
R0=input[6]
R0=R0^R1
input[38]=R0
R0=input[7]
R0=R0^R1
input[39]=R0
R0=input[8]
R0=R0^R1
input[40]=R0
R0=input[9]
R0=R0^R1
input[41]=R0
R0=input[10]
R0=R0^R1
input[42]=R0
R0=input[11]
R0=R0^R1
input[43]=R0
R0=input[12]
R0=R0^R1
input[44]=R0
R0=input[13]
R0=R0^R1
input[45]=R0
R0=input[14]
R0=R0^R1
input[46]=R0
R0=input[15]
R0=R0^R1
input[47]=R0
R0=input[16]
R0=R0^R1
input[48]=R0
R0=input[17]
R0=R0^R1
input[49]=R0
R0=input[18]
R0=R0^R1
input[50]=R0
R0=input[19]
R0=R0^R1
input[51]=R0
0xF4 nop
for(int i=0;i<21;i++)
{
printf("%c",cpdata[i]^18);
}
//This_is_not_flag_233
第二段
please input:
R0=input[0]
R1=input[1]
R0=R0^R1
input[0]=R0
R0=input[1]
R1=input[2]
R0=R0^R1
input[1]=R0
R0=input[2]
R1=input[3]
R0=R0^R1
input[2]=R0
R0=input[3]
R1=input[4]
R0=R0^R1
input[3]=R0
R0=input[4]
R1=input[5]
R0=R0^R1
input[4]=R0
R0=input[5]
R1=input[6]
R0=R0^R1
input[5]=R0
R0=input[6] //input[6]=
R1=input[7]
R2=input[8]
R3=input[12]
R0=R2+2*R1+3*R0
R0*=R3
input[6]=R0
R0=input[7] //input[7]=
R1=input[8]
R2=input[9]
R3=input[12]
R0=R2+2*R1+3*R0
R0*=R3
input[7]=R0
R0=input[8] //input[8]=
R1=input[9]
R2=input[10]
R3=input[12]
R0=R2+2*R1+3*R0
R0*=R3
input[8]=R0
R0=input[13] //置换 13 19
R1=input[19]
change(R0,R1)
input[13]=R0
input[19]=R1
R0=input[14] //置换14 18
R1=input[18]
change(R0,R1)
input[14]=R0
input[18]=R1
R0=input[15] //置换15 17
R1=input[17]
change(R0,R1)
input[15]=R0
input[17]=R1
0xF4 nop
over!!
第二段的比较数据就在第一个比较数据的附近,在得到假flag之后,查看该处的数据
发现上面有一个可疑数据,查看它的交叉引用,可以跟进一个比较函数
但是比较奇怪的是,这个函数没有被调用过,之前做过actf的一道题,函数通过栈溢出覆盖了返回值,从而被调用,但是这一题就算输入了真正的flag,也不会调用这一处函数,所以感觉有点……,虽然有提示,虽然opcode有两个0xf5调用输入,但还是有些生硬了。
#include<stdio.h>
void myswap(char*a,char*b);
int main()
{
for(int i=30;i<127;i++)
{
if(realdata[8]==(unsigned char)((realdata[10]+2*realdata[9]+3*i)*realdata[12]))
{
//printf("flag[8]==%c\n",i);
realdata[8]=i;
}
}
for(int i=30;i<127;i++)
{
if(realdata[7]==(unsigned char)((realdata[9]+2*realdata[8]+3*i)*realdata[12]))
{
//printf("flag[7]==%c\n",i);
realdata[7]=i;
}
}
for(int i=30;i<127;i++)
{
int a=(realdata[8]+2*realdata[7]+3*i)*realdata[12];
if(realdata[6]==(unsigned char)((realdata[8]+2*realdata[7]+3*i)*realdata[12]))
{
//printf("flag[6]==%c\n",i);
realdata[6]=i;
}
}
myswap(&realdata[13],&realdata[19]);
myswap(&realdata[14],&realdata[18]);
myswap(&realdata[15],&realdata[17]);
for(int i=0;i<20;i++)
{
printf("%c",realdata[i]);
}
return 0;
}
void myswap(char* a,char* b)
{
char t=*a;
*a=*b;
*b=t;
}
//Y0u_hav3_r3v3rs3_1t!