VMP加壳的选项中,有个内存效验选项,默认是勾上的,于是,默认的加壳后的程序,只要修改1个字节,程序就会报错。比如,我把加了VMP2.06后的记事本程序,用Hexworkshop打开,把最后一个字节,修改成90,如图:
然后保存后,打开程序,就会报如下错:
下面就来分析下,如何过这个效验。
VMP中,进行效验,都是由handler VM_CRC来进行的,大致的过程可以描述如下:
if(VM_CRC(dwCheckStartAddr,dwLen)==Orien_hash)
{
//继续执行
}
else
{
MessageBox("File corrupted!");
}
于是,过这个效验的方法就是:
法1.把修改后文件的效验值patch成原始的,也就是未修改程序的值
法2,强行修改跳转
下面先来看下VM_CRC:
Address Thread Command ; Registers and comments
010520C7 Main setne dl ; EDX=00840101
010520CA Main bsf cx,di ; ECX=01050003
010520CE Main mov edx,dword ptr ss:[ebp] ; EDX=0084013C //取效验的开始地址
010520D1 Main pushfd
010520D2 Main push esp
010520D3 Main inc ch ; ECX=01050103
010520D5 Main cmp sp,bx
010520D8 Main add ebp,4 ; EBP=0006F794
010520DB Main ror ch,cl ; ECX=01052003
010520DD Main ror ch,cl ; ECX=01050403
010520DF Main rcl cx,3 ; ECX=01052018
010520E3 Main add ch,86 ; ECX=0105A618
010520E6 Main sub eax,eax ; EAX=00000000
010520E8 Main add esp,8
010520EB Main bt esp,0D
010520EF Main mov ecx,eax ; ECX=00000000
010520F1 Main push ecx
010520F2 Main bt cx,8
010520F7 Main jmp NOTEPAD_.010513F9
010513F9 Main shl eax,7
010513FC Main mov byte ptr ss:[esp],0AA
01051400 Main shr ecx,19
01051403 Main stc
01051404 Main call NOTEPAD_.01052238
01052238 Main stc
01052239 Main cmp bl,al
0105223B Main or eax,ecx
0105223D Main call NOTEPAD_.010524E9
010524E9 Main mov word ptr ss:[esp+4],si
010524EE Main stc
010524EF Main jmp NOTEPAD_.01050828
01050828 Main xor al,byte ptr ds:[edx] ; EAX=00000002 //计算
0105082A Main pushad
0105082B Main inc edx ; EDX=0084013D
0105082C Main jmp NOTEPAD_.010513F0
010513F0 Main mov byte ptr ss:[esp],23
010513F4 Main jmp NOTEPAD_.010519AB
010519AB Main pushfd
010519AC Main dec dword ptr ss:[ebp] //长度递减
010519AF Main jmp NOTEPAD_.0104FFB1
0104FFB1 Main mov byte ptr ss:[esp],0CE
0104FFB5 Main push dword ptr ss:[esp]
0104FFB8 Main call NOTEPAD_.01050DF8
01050DF8 Main lea esp,dword ptr ss:[esp+38]
01050DFC Main jnz NOTEPAD_.010520EB
......
01050E02 Main pushfd
01050E03 Main mov dword ptr ss:[ebp],eax //保存计算后的hash值
01050E06 Main pushfd
01050E07 Main push dword ptr ss:[esp+4]
01050E0B Main mov byte ptr ss:[esp+8],bl
01050E0F Main lea esp,dword ptr ss:[esp+C]
01050E13 Main jmp NOTEPAD_.01052455
01052455 Main jl NOTEPAD_.010512B1
从这条handler里,可以得到如下关键的信息:
1.效验的起始地址:CheckStartAddr
2.效验的长度:Len
3.计算后的效验值:CrcValue
说明:对于VM_CRC这条handler的获取,其实很简单,脱过VMP壳的应该都遇到过:
在VirtualProtectEx下好断,F9运行,一直到程序解码,然后在.text段下F2断点,F9运行,往往都会中断在xor al,byte ptr ds:[edx] 指令处,这就是VM_CRC了。接着就向上早这条handler的头就行了,小技巧就是:在OD中,右键---查找---常量,一步一步往上递归查找,就到handler的头了。
下面,写个脚本,来记录下VMP外壳到底在效验哪些地方,脚本如下:
var addr
var hash
var len
var logfile
var info
var end
var ref
var GetAddr
var GetLen
var GetHash
var stop
mov logfile,"log.txt"
bphwcall
bpmc
bc
///配置,根据程序自行修改
mov GetAddr,010520ce //获取效验开始地址
mov GetLen,010519ac //获取长度
mov GetHash,01050e02 //获取计算后的效验值
mov stop,0100739d //设置个脚本停止地址
bphws stop,"x"
bphws GetAddr,"x"
bphws GetHash,"x"
loop:
run
cmp eip,stop
je Exit
mov addr,[ebp]
bphws GetLen,"x"
run
mov len,[ebp]
bphwc GetLen
run
mov hash,eax
mov ref,dx
info:
mov end,addr
add end,len
eval "Check Addr:{addr}----{end} VM_CRC:{hash} ref:{ref}"
mov info,$RESULT
wrta logfile,info
jmp loop
Exit:
ret
记录后的效果如下:
Check Addr:84013C----840178 VM_CRC:6BE8626 ref:178
Check Addr:840180----8513B6 VM_CRC:4FAEC4C8 ref:13B6
Check Addr:8513E6----86EA00 VM_CRC:FCD461CC ref:EA00
Check Addr:840000----840138 VM_CRC:A2031BDE ref:138
Check Addr:104EB50----104EDB4 VM_CRC:9EEE9611 ref:EDB4
Check Addr:103B264----103B280 VM_CRC:44A10069 ref:B280
Check Addr:10523DE----105261F VM_CRC:9571C843 ref:261F
Check Addr:100013C----1000178 VM_CRC:6BE8626 ref:178
Check Addr:1036129----1036A63 VM_CRC:CBEF3424 ref:6A63
Check Addr:102C904----102D74C VM_CRC:12396730 ref:D74C
Check Addr:103B200----103B20C VM_CRC:94966AA1 ref:B20C
Check Addr:103B250----103B25C VM_CRC:98CB8F21 ref:B25C
Check Addr:103B283----104EB50 VM_CRC:5065D528 ref:EB50
Check Addr:103A2F6----103B194 VM_CRC:EFC06876 ref:B194
Check Addr:103B1D8----103B1E4 VM_CRC:92B333A1 ref:B1E4
Check Addr:103B23C----103B248 VM_CRC:97FB8F21 ref:B248
Check Addr:1000118----1000138 VM_CRC:49C882 ref:138
Check Addr:105138F----1051697 VM_CRC:D5374579 ref:1697
Check Addr:103B214----103B220 VM_CRC:159E05A1 ref:B220
Check Addr:1051FCB----10523C7 VM_CRC:F5C3B314 ref:23C7
Check Addr:1051036----105138B VM_CRC:AD5AAA1A ref:138B
Check Addr:102D750----102DDFF VM_CRC:3EAD397E ref:DDFF
Check Addr:10507A8----1050DA2 VM_CRC:FC7A3CF4 ref:DA2
Check Addr:103550E----1036125 VM_CRC:C1206AA9 ref:6125
Check Addr:104EF5A----1050790 VM_CRC:22A05033 ref:790
Check Addr:103B228----103B234 VM_CRC:16F1C6E2 ref:B234
Check Addr:103B1EC----103B1F8 VM_CRC:93BAC921 ref:B1F8
Check Addr:103A2B6----103A2F2 VM_CRC:56D8AA3B ref:A2F2
Check Addr:1050DA6----1051032 VM_CRC:D7A929AE ref:1032
Check Addr:103B1B0----103B1BC VM_CRC:914D2621 ref:B1BC
Check Addr:1050794----10507A4 VM_CRC:7AC87546 ref:7A4
Check Addr:105169B----1051FA5 VM_CRC:89B75DFD ref:1FA5
....下面略
下面来分析下这份日志:
由于我修改的文件是文件最后个字节,offset=2E9FF,转化成RVA=2E9FF,日志的前几行地址为84XXXX,显然,这个地址是内存中新申请的,下个bp MapViewOfFile看看,返回后可知,eax=00840000,于是,修改的地址,在内存映射中的地址=lpBase+RVA=00840000+2E9FF=0086E9FF
然后看日志的第三行:
Check Addr:8513E6----86EA00 VM_CRC:FCD461CC ref:EA00
发现,这行记录的信息正好是效验了我们修改的地方。于是,我们只要手动patch这个效验值,就能使程序正常的运行起来。但是如何要使保存后的程序也能正常运行呢?于是得找个地方,去放patch的代码。
最好的思路就是找个没在上面日志中的效验的范围内的handler内,但是这个值往往不好找,省事点,直接在CRC计算的出口处进行patch,这个地址:
01050E02 9C pushfd //这里patch
01050E03 8945 00 mov dword ptr ss:[ebp],eax
01050E06 9C pushfd
01050E07 FF7424 04 push dword ptr ss:[esp+4]
01050E0B 885C24 08 mov byte ptr ss:[esp+8],bl
01050E0F 8D6424 0C lea esp,dword ptr ss:[esp+C]
但是,这个地址也正好存在在效验的范围内,看日志:
Check Addr:1050DA6----1051032 VM_CRC:D7A929AE ref:1032
01050E02正好在这个效验的范围内,于是,这次效验值,我们也得进行patch。
当然,VMP并未对程序的空白区进行效验,于是,可以在程序最后的空数据区,随便patch。
如何patch呢?这个就自由发挥,我也不知道如何patch最佳,提供一种自己的挫patch代码:(说明下,脚本中记录的ref值,是为了进行patch对照用的,也就是一个参照数)
01050E02 /E9 A6180000 jmp 修改.010526AD //放个跳转去进行patch
01050E07 |FF7424 04 push dword ptr ss:[esp+4]
01050E0B |885C24 08 mov byte ptr ss:[esp+8],bl
01050E0F |8D6424 0C lea esp,dword ptr ss:[esp+C]
01050E13 |E9 3D160000 jmp 修改3.01052455
01050E18 |8B4C24 4C mov ecx,dword ptr ss:[esp+4C]
010526AD 66:81FA 00EA cmp dx,0EA00
010526B2 75 07 jnz short 修改.010526BB
010526B4 B8 CC61D4FC mov eax,FCD461CC
010526B9 EB 0C jmp short 修改.010526C7
010526BB 66:81FA 3210 cmp dx,1032
010526C0 75 05 jnz short 修改.010526C7
010526C2 B8 AE29A9D7 mov eax,D7A929AE
010526C7 9C pushfd
010526C8 8945 00 mov dword ptr ss:[ebp],eax
010526CB 9C pushfd
010526CC ^ E9 36E7FFFF jmp 修改.01050E07
如此patch后,保存文件,即可正常运行。
当然,你也可以修改跳转的地方,来到过效验的目的。方法就是HOOK VM_Add32,0和4互换,这个上次的文章中提过了,就不赘述了。
附件为试练品,patch后的,以及脚本跟日志
http://u.115.com/file/t040893ff3