某vm加壳分析

已于 2023-04-10 16:54:26 修改
阅读量823 收藏
点赞数
文章标签: windows c++
于 2023-04-10 16:51:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/130063221
版权

背景

早上哥们儿那里发了一个样本过来,让弟弟简单的看看这是个什么东西,好嘛!点开就是vm警告,右键回收站。

 还是得给好哥哥一点面子,在看看,放进虚拟机之后直接运行,现象就是闪一下,也没有vmp的警告,你这闪一下是什么意思?吓唬谁呢?

 开摆

当第一次触发异常的时候,.text段的代码已经初始化了可以用VMPImportFixer把它给dump下来

 dump下来之后在假装看看字符串,发现了如下数据 

通过对该初始化函数下断点,动态调试,往上找调用的call发现了main函数

 观察一下这个参数也不难发现这个就是main函数

 继续看看,发现是自定义的vm代码,经典(x)vm,只有单步跟踪看看都进行了什么操作。

第一个call,检测当前进程列表中是否包含下面这些进程,以及closehandle的反调试手段,我也说为什么闪一下就妹了,原来是有反调试。

 第二个call,反vm通过查询cpuid判断当前是否处在虚拟机环境

第三个call就是它的主要逻辑

 每隔0x3E8写入一次文件,文件的内容先解密,解密方式为异或,之后写入文件的时候在进行加密。(这里其实有bug,并不是每隔0x3e8写一次,应该是0x3e8*2,因为每次%2==0的时候都是加密的文件名(包含特殊字符),所以这一次写入是失败的,只有是明文的文件名写入才是成功的)

 结束

vmp不vm代码还是能玩,但是vm了代码基本就是右键回收站。

被遗弃的庸才
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VM虚拟机程序加壳
03-15
1、代码虚拟化 MapoEngine 的核心功能,目前市面上最强的壳都是以代码虚拟化为核心,没有代码虚拟化功能的壳目前基本已经退出市场了 2、代码混淆 包括花指令生成和指令拆分两个部分,通过把原始指令拆分成功能相等的多条指令并生成大量的花指令穿插在其中,使得攻击者迷失在垃圾代码的海洋中 3、代码乱序 打乱指令的正常顺序,使用大量的跳转指令来连接各条指令,执行时指令会上窜下跳,起头让攻击者头晕目眩的效果 外壳保护: 外壳保护为辅助功能,包括: 1、反调试 反调试为壳的基本功能,为老一代保护壳的主要战场,目前虽然已经不是主流战场,但还是一个必要的功能 2、反虚拟机(Vmware) 反虚拟机,防止软件在vmware等虚拟机上运行 3、导入表保护 导入表保护,老一代保护壳的主要战场,但直到现在仍然是非常重要的一个保护点,目前的壳基本上都能做到全程序保护,运行时不还原原始导入表,能大大增强壳的强度 4、反API断点,反API挂勾 通过自加载系统DLL来防止攻击者对API下断点,防止对API进行Hook,强壳的必要功能 5、代码压缩 通过对代码进行压缩来缩小程序体积,必要功能
VMP加壳
01-28
VMP加壳.exe
【Android 逆向】加壳技术识别 ( 函数抽取 与 Native 化加壳的区分 | VMP 加壳与 Dex2C 加壳的区分 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
12-12 2305
一、加壳特征识别、 1、函数抽取 与 Native 化加壳的区分、 2、VMP 加壳与 Dex2C 加壳的区分、
VMP加壳工具最新 VMProtect Ultimate v3.8.4 Build1754
最新发布
峰哥IT-一个专业的互联网工作者
04-22 1239
受保护的文件基本上可在任何版本的 Windows 系统上运行,甚至是较早的 Windows 95!VMProtect 的 Professional 和 Ultimate 版本拥有一个控制台版本,支持命令行参数,而且可在自动构建过程中使用。该版本完全支持脚本、水印、序列号和 VMProtect 的所有其他功能。授权功能帮助用户限制免费更新周期、设置序列号的有效时间、防范在未输入序列号的情况下执行代码,并提供大量其他功能。还可阻止任何序列号,新的受到保护的文件不会接受此序列号。
VMP 虚拟机(加壳原理)
hhd1988的专栏
04-29 6136
获取途径 http://www.drmsoft.cn/reseller/vmp.asp 技术剖析 虚拟机保护技术就是将基于x86汇编系统的可执行代码转换为字节码指令系统的代码,以达到保护原有指令不被轻易逆向和修改的目的,这种指令也可以叫伪指令,和VB的pcode有点类似。从本质上讲,虚拟指令系统就是对原本的x86汇编指令系统进行一次封装,将原本的汇编指令转换为另一种表现形式。 push uType push lpCaption push lpText push hWnd, call Message
VMP加壳工具
02-19
VMP加壳加壳加密软件,保护你的软件不被破解 加壳加密软件,保护你的软件不被破解
VMP 加壳工具v3.3.1
04-09
VMProtect 是一款高级版的程序加壳工具,可以有效地保护你的应用程序不被反编译,说明白点就是一个加壳工具,加壳后的应用程序体积变得更小,而且更加安全。
VM加壳的工具
11-12
如果您写好软件或者开发好一个软件以后,很可能需要到这个东西 他可以使您的软件更加安全,
加壳工具 VMP优化工具-处理易语言特征与段首VM
03-18
VMP优化工具 使用方法 写代码时 在子程序开始加入...VM掉有标记的的子程序头 VM掉按钮事件 FF55FC5F5E VM掉FF25 及其 call窗口地址 以及一些支持库调用的其他特征 不支持dll 后续有待优化 电脑是W7 未在其他系统上测试
加壳工具VMProtect-Ultimate
04-04
加壳工具VMProtect_Ultimate破解版,亲测可用
Android应用加壳分析设计与实现
11-13
本报告详细探讨了Android应用加壳分析设计与实现,旨在深入理解这一技术在保护应用程序安全、隐藏原始代码、防止逆向工程等方面的重要作用。加壳技术通过将原始APK包进行处理,创建一个外壳程序,使得攻击者难以...
加壳vmp1.70软件)
05-01
加壳软件 , 希望大家喜欢。软件对于一些人有用(练习脱壳的朋友不妨试试)。
VMP加壳加密工具
10-04
VMP加壳加密工具
VMP加壳工具V2.09注册版
06-18
破解已注册版本
易语言VMP加壳工具源码
08-12
可以保护自己的软件让别人破解 易语言VMP加壳工具源码 是一个vmp加密软件的源码 编译过后可以直接使用 方便快捷 加密过后会出现在软件的当前目录!
VMP加强版V6
10-03
VMP加强版V6 右键兼容性运行,或者重新运行。直到标题正确才能加壳,否则无优化效果。此VMP版本为VMP加强版【个人版专用】 自动优化标记VM的函数, 不必再用VM优化器, 完整的保护标记函数 首次使用VMP时请手动设置专家模式 【设置---->专家模式】 建议加壳方式为 标记函数全部超级(虚拟+变异) , 【选项】页面 《级别》设置为 “最快速度”, 全否设置 DLL如果是内存注入只能加一层VMP,并且级别必须为最快速度 EXE文件用最快速度加完 可以再加一层SE保护外壳
VMP虚拟机加壳的原理学习
weixin_34267123的博客
09-28 1141
好久没有到博客写文章了,9月份开学有点忙,参加了一个上海的一个CHINA SIG信息比赛,前几天又无锡南京来回跑了几趟,签了阿里巴巴的安全工程师,准备11月以后过去实习,这之前就好好待在学校学习了。 这段时间断断续续把《加密与解码 第三版》给看完了,虽然对逆向还是一知半解,不过对VMP虚拟机加壳这块有了一点新的认识。这里分享一些笔记和想法,没有新的东西,都是书上还KSSD里看来的,权当笔记和分享...
知物由学 | SO VMP 加壳与混淆,为移动应用提供函数级保护
12-30 1899
VMP 是一种用于软件保护的软件,对软件进行加壳,加固厂商都有自己的 VMP 方案,但值得注意的是,native 层的 VMP 方案并不成熟,兼容性只是其中一个影响因素,性能更是导致该方案无法普及的重要原因之一。
【Android 逆向】加壳技术识别 ( VMP 加壳示例 | Dex2C 加壳示例 )
zhangmiaoping23的专栏
09-22 1902
加壳技术识别的必要性 : 拿到 APK 文件后 , 如果想要分析其 DEX 文件 , 需要先 识别出该 APK 是使用的什么技术进行的加壳 , 如果该 APK 只是使用了整体保护 , 只需要将内存中的 DEX 文件 DUMP 下来即可;每个加壳的应用必然使用 DEX 整体加固 , 然后在该基础上 , 使用 函数抽取 , VMP , Dex2C 中的一种加壳技术 , 也有可能使用 3 33 者中的多种加壳技术 , 进行混合加壳;函数抽取特征 : 获取到加壳后的 DEX 文件 , 其函数体是无效的;
UPX源码分析——加壳
05-17
加壳是指将一个已经编译好的可执行文件,通过加密、压缩等手段,使其变得难以被反汇编和逆向工程,从而提高软件的安全性。其中,UPX 是一种常用的加壳工具,可以将 Windows 和 Linux 下的可执行文件进行压缩和加密。 下面我们来分析一下 UPX 的加壳原理: 1. 文件压缩 UPX 首先对可执行文件进行压缩,可以使用多种压缩算法,包括 LZMA、LZ77 和 Huffman 等。这些算法可以将文件中的重复数据或者无效数据进行删除或者压缩,从而减小文件的体积。 2. 加密 UPX 还可以对压缩后的文件进行加密,可以使用多种加密算法,包括 Blowfish、AES 和 RC4 等。加密可以使得文件内容变得难以被窃取和分析,从而提高软件的安全性。 3. 重定位 由于压缩和加密可能会影响可执行文件的结构,因此 UPX 还需要对文件进行重定位,以确保可执行文件在运行时能够正确加载和执行。重定位是指将可执行文件中的函数地址和数据地址进行修改,使得它们能够正确地指向压缩和加密后的数据。 4. 解压 当可执行文件被运行时,UPX 会先解压它,然后将它加载到内存中,并将其重定位。解压是指将压缩和加密后的文件恢复成原来的可执行文件,以便能够正确地执行其中的函数和数据。 总的来说,UPX 的加壳原理就是通过文件压缩、加密和重定位等手段,使得可执行文件变得难以被分析和逆向工程。但是,需要注意的是,UPX 只是一种基本的加壳工具,对于一些高级的反调试和反反汇编技术,可能并不能有效地提高软件的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值