利用IDA的F5来反VMP2.x的Mutation保护

最新推荐文章于 2024-05-19 00:35:13 发布
最新推荐文章于 2024-05-19 00:35:13 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 逆向 x64dbg脚本 ida
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15059515/article/details/105388224
版权

先说说我对IDA的看法:我怀疑IDA公司有内鬼。
我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。
F5的自动化反混淆很好用,可以清掉vmp2.x的90%的变异代码。
但是交互可能是“内鬼”写的,用起来是真的不舒服,各种多管闲事(删了函数又自动创建出来),交互失灵(做了删函数删变量等等操作,graph和f5都没有变化,需要把当前函数删了重新创建才会变化)。

用IDA分析混淆代码时,建议把这个选项取消,以免乱创建函数,影响graph和F5,去变异代码那手动创建函数会好很多
在这里插入图片描述
在这里插入图片描述
IDA还会被一些指令和代码块干扰:

指令1:Call 变异代码段
这种call会直接影响graph图的生成,让graph不能完整地连接变异代码块,而是被“中途截断”
指令2:Ret
Ret指令不管是返回到了变异代码块还是返回到了正常的函数,都会导致graph被截断
(Call指令只在call 变异代码段时会截断,call正常函数不会被截断)
 
 
代码块:栈未平衡的代码块。例如
sub esp,4<

最低0.47元/天 解锁文章
Lixinist
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VMAttack 2016出的最新的分析vmpida插件源码
01-20
2016公布的最棒的ida插件,英文版,源码,python写的,可以自动半自动分析vmp源码,非常棒的ida插件源码
IDA Pro 5.5 带 F5 插件
05-22
IDA Pro 5.5 EXE/DLL文件编译工具,自带F5插件,带破解工具,有说明文件
开源一个IDA小插件:修复VMP dump导入函数
yan_star的博客
01-19 2492
简述: 通常我们在静态分析vmp加壳后的程序或者驱动时,都会选择将其跑开然后看dump文件。但是vmp会将某些函数地址进行混淆,所以当我们想看一个函数时,常常会见到如下图所示代码段: 面对上述情况,我之前一般都是默默的打开计算器,人肉去算地址,然后看落在哪个模块上,把对应模块扣出来,改基址,接着根据算出的地址看是哪个对应函数,最后回到dump文件,将名字标上!算一个,两个还能忍,但是当面对无数这样的函数,甚至说你算到最后发现竟然是之前已经标过的函数时,头已经大了。 于是,在经历这样的折磨之后,写了一个ID
编译小红书vmp 代码decompile-xhs
最新发布
qq_21050249的博客
05-19 893
目前在JS 方面常见的保护方式vmp 目前还是比较常见的 国内来说腾讯 小红书 抖音 知乎 都有vmp了我之前的解决办法 就是在关键节点打日志然后看输出日志分析 经常有几万行的日志看的很蛋疼所以来研究下怎么用 ast 来还原vmp 代码。
IDA F5 增强插件,还我源代码(一)
qq_44005305的博客
01-10 1269
李老板: 奋飞呀,你就这么结束也太水了吧。这种文章我都不好意思转发,严重影响我大佬的人设。奋飞:老板说的有道理,使用开源工具,不读他的源码是对作者的不尊重。我们先来聊聊 IDA Microcode, 他是一种中间语言,从汇编出来的汇编代码到F5生成漂亮的C代码,中间要经过多次的Microcode转换。举个例子,生米煮成熟饭(说你呢,别想歪了),在萌新看来,就是大米 biu~~ 一下就成米饭了。
vmp壳原理分析笔记----ELF文件的加载,链接,IDAPYTHON
zhangmiaoping23的专栏
01-17 2264
vmp壳原理分析笔记 分析的样本为某数字公司最新免费壳子。之前的壳子已经被很多大佬分析了,这篇笔记的主要目的是比较详细的分析下该vmp壳子的原理,数字壳子主要分为调试,linker,虚拟机三部分。笔记结构如下: 调试 时间调试 rtld_db_dlactivity调试 traceid调试 端口调试 linker部分:用来加载第二个so 装载 ...
IDA pro汇编教程合集.zip
01-23
IDA pro汇编教程合集.zip 调试 跟踪 加密 解密 脱壳 插件
ida.rar_ida_汇编
09-24
**IDA——静态汇编利器** IDA(Interactive Disassembler Pro)是一款强大的静态分析工具,专用于汇编各种处理器架构的目标代码。它不仅能够将机器语言转换为人类可读的汇编代码,还能提供高级的功能,如图形化...
LAuth_ida_idadatabase_If..._anotherversion_
09-30
another version if ida database
SiCore.sys 滴水中级 IDA训练 逆向训练 完全版
10-26
8. **技巧与策略**:掌握逆向工程中的一些技巧,例如使用插件增强IDA的功能,如何利用搜索引擎和社区资源辅助分析,以及如何编写报告记录分析过程和结果。 逆向工程是一项高深的技术,需要扎实的计算机基础知识和...
VMP加强版V6
10-03
VMP加强版V6 右键兼容性运行,或者重新运行。直到标题正确才能加壳,否则无优化效果。此VMP版本为VMP加强版【个人版专用】 自动优化标记VM的函数, 不必再用VM优化器, 完整的保护标记函数 首次使用VMP时请手动设置专家模式 【设置---->专家模式】 建议加壳方式为 标记函数全部超级(虚拟+变异) , 【选项】页面 《级别》设置为 “最快速度”, 全否设置 DLL如果是内存注入只能加一层VMP,并且级别必须为最快速度 EXE文件用最快速度加完 可以再加一层SE保护外壳
FixVmpDump:使用python脚本修复ida中的vmp dump API
05-27
FixVmpDump 使用python脚本修复ida中的vmp dump API。 支持x86和x64。 我的博客中的详细信息: : 步骤1 (1)通过ida打开Need模块,然后运行“ Get_Export_Fun_Name_Addr.py”。 您可以在“ D:\ fix_vmp_dump”中获取“ xxx.txt”。 第2步 (1)在您的“%ida%/ python /”中放入“ Fix_Vmp_Dump_API.py”。 (2)在您的“%ida%/ python / init.py”文件中插入“ import Fix_Vmp_Dump_API ”,如下所示: try: import ida_idaapi import ida_kernwin import ida_diskio import Fix_Vmp_Dump_API except ImportEr
发仔制作vmp加密壳工具源码密码1
08-29
发仔制作vmp加密壳工具源码密码
VMP学习笔记之汇编引擎学习(三)
u014738665的博客
10-12 1075
参考资料: 本文大量内容抄袭看雪作者:waiWH的VMP系列 1、名称:谈谈vmp的还原(1) 网址:[原创]谈谈vmp的还原(1)-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com 2、名称:汇编指令之OpCode快速入门 网址:[原创]汇编指令之OpCode快速入门-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com 3、名称:X86指令编码内幕 --- 指令 Opcode 码 网址:X86指令编码内幕 --- 指令 Opcode 码_晓风残月的技术天地-
逆向VMP壳的基本思路
狂奔boy的博客
06-26 5703
逆向Android平台的时候,偶然发现了Profiler性能面板的CPU trace功能的妙用,启发了我逆向VMP的新思路
一次vmp函数的分析 suctf re400
qq_41071646的博客
08-30 631
最近太难了 好多比赛 打比赛 看题解啥的 都没有时间写博客了 然后 也在看0day安全那本书 这个是一个老哥给我发的一个题目 他和我说 在做一道题 然后是vmp的 然后我就来试一试 先打开ida 看一下 然后 看一下 vmp保护壳的内容 然后 发现确实是vmp 然后找了几个插件 发现这个插件是可以用的 https://bbs.pediy.com/thread-15...
VMprotect静态跟踪 && 字节码编译
寻梦&之璐
02-25 869
VMprotect静态跟踪 (1)虚拟执行特点: 虚拟执行是静态分析与动态执行的一个折中办法 虚拟执行时对内存访问做了一定的控制以防止出现异常 允许读写静态内存与堆栈访问 忽略其他内存访问与修改 解决了异常问题后,就可以从入口点一直虚拟执行到出口了 (2)执行引擎的虚拟执行 分析虚拟机的一般传统方法: 找到关键位置 动态执行并使用记录断点记录数据 输出记录日志 优点: 寻找关键位置时间相对较短 缺点: 多路径时只能走其中一条路径 分析多个虚拟机时要重复做相同的工作 虚拟执行方法: 虚拟执
(VMProtect 分析)跟着ida和WinDbg逛VirtualMachine
pureman_mega的博客
12-06 1362
本文中的代码示例来源于vgk.sys(1.0.0.3): 从文件中抽出的某个handler的开头部分,代码出现的先后顺序就是其逻辑上的执行顺序。如下: .stub0:00000001405BC2AD push 2B6CD1BFh .stub0:00000001405BC2B2 call handler5 .stub0:00000001405716F3 handler5 proc near
ida 编译dll如何利用.h文件
06-09
当你使用 IDA Pro 对 DLL 进行编译后,你可以根据编译后的汇编代码,手动将其转换为 C 语言代码,并利用相应的 .h 文件进行函数声明和类型定义等操作。 具体步骤如下: 1. 打开编译后的汇编代码,分析其函数调用和变量定义等信息。 2. 根据分析结果,手动编写 C 语言代码,包括函数声明、变量定义等。 3. 在相应的 .h 文件中,根据 C 语言代码中的函数和类型定义,进行相应的声明和定义。 4. 将编写好的 C 语言代码和 .h 文件加入到你的工程中,并进行编译和链接。 需要注意的是,编译后的汇编代码可能存在一定的误差和不完整性,因此需要进行相应的调试和修改,以确保生成的代码和 .h 文件的正确性和完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值