VMP分析之VMP1.09虚拟化架构分析(二)

最新推荐文章于 2021-10-10 15:50:28 发布
最新推荐文章于 2021-10-10 15:50:28 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 加壳脱壳 文章标签: c++ windows vmp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38474570/article/details/120687311
版权

虚拟机 函数调用 寄存器环境 解码循环 最小保护
关键词由CSDN通过智能技术生成

文章目录

示例代码

示例代码如下:

#include "stdafx.h"
#include <Windows.h>

int Calc(int a,int b)
{

	return a + b;

}


int main(int argc, char* argv[])
{

	Calc(2,3);
	getchar();
	return 0;
}

在这里插入图片描述

同样用VMP1.09对程序进行加壳,只对两句代码进行VM处理。

在这里插入图片描述

这次的目的是为了分析虚拟机,选择最小保护。

VM完整流程分析

在这里插入图片描述

来到Calc函数当前堆栈值为+0的位置的返回地址,+4和+8的位置是Calc函数的参数

VM解码循环

在这里插入图片描述

接着VM开始部分的代码和之前分析过的一样,取指令流然后跳转到handler。

区别于VM最大保护的版本,最小保护的VM代码少了解密指令流的部分,解密Key中保存的就是真实的VM指令流。

保存寄存器环境

首先handler执行代码保存当前的寄存器环境,保存的寄存器环境和保存后的VM_Context如下:

当前堆栈
$ ==>    > 00000000--->第二个密钥
$+4      > 0019FED0--->EDI
$+8      > 00401520--->ESI  
$+C      > 0019FED0--->EBP
$+10     > 0019FE7C--->ESP
$+14     > 00309000--->EBX
$+18     > 021E0FC0--->EDX
$+1C     > 00000000--->ECX
$+20     > CCCCCCCC--->EAX
$+24     > 00000206--->EFlags

VM_Context
$ ==>    >CCCCCCCC--->EAX
$+4      >00000206--->EFlags
$+8      >0019FED0--->EDI
$+C      >00000000--->第二个密钥
$+10     >00000000--->ECX
$+14     >02210FC0--->EDX
$+18     >000B8FA5--->
$+1C     >F609851D--->
$+20     >E654F2EE--->
$+24     >0019FED0--->EBP
$+28     >003CA000--->EBX
$+2C     >00401520--->ESI

压入EBP和偏移

VM代码保存完了寄存器之后,就要开始执行程序原本的功能了

在这里插入图片描述

执行完三个handler之后,VM压入了三个值,分别是

$ ==>    > 00000008
$+4      > 0019FED0
$+8      > 0000000C

其中8和C是偏移,而0019FED0是EBP的地址,再来看一下EBP的值

0019FED0  0019FF30
0019FED4  00401126  返回到 VMTest_v.main+26 来自 VMTest_v.0040100A
0019FED8  00000002
0019FEDC  00000003

EBP+8和+C的位置正好是被VM函数的两个参数,VM识图通过这种方式来取到参数,进行运算

执行函数

在这里插入图片描述

接着handler将参数一保存到VM_Context+0x20的位置

在这里插入图片描述

接着handler执行函数代码,将两个参数相加,结果保存在堆栈中

在这里插入图片描述

接着将计算结果保存在VM_Context+0x1C的位置。当前VM寄存器环境如下:

VM_Context
$ ==>    >CCCCCCCC--->EAX
$+4      >00000206--->EFlags
$+8      >0019FED0--->EDI
$+C      >00000000--->第二个密钥
$+10     >00000000--->ECX
$+14     >02210FC0--->EDX
$+18     >000B8FA5--->
$+1C     >F609851D--->计算结果
$+20     >E654F2EE--->参数
$+24     >0019FED0--->EBP
$+28     >003CA000--->EBX
$+2C     >00401520--->ESI

恢复寄存器环境

在这里插入图片描述

接着将VM_Context中的寄存器恢复到堆栈中,然后再从堆栈将数据恢复到寄存器

在这里插入图片描述

函数返回时,功能执行完成。至此,走完了整个VM的虚拟机流程

总结

VM代码流程总结如下:

  1. 保存寄存器环境到堆栈
  2. 将堆栈的寄存器环境保存到VM_Context
  3. 执行真正的函数代码
  4. 恢复VM_Context到堆栈
  5. 恢复寄存器
鬼手56
关注
专栏目录
vmp所有版本脱壳分析教程!
05-01
这是lcf所有的vmp脱壳教程,希望大家喜欢!
VM虚拟机去虚拟化 玩游戏多开 过检测 tp vmp cf dnf
05-10
VM虚拟机去虚拟化 玩游戏多开 过检测 tp vmp cf dnf win10 win7精简优化虚拟机,可以完美运行腾讯网易各种游戏,高帧不卡,过鲁大师,tp vmpse 等检测,不收费 复制文件夹 x64文件夹 到VM主程序目录文件夹覆盖X64...
vmp分析文章
06-15 226
https://www.52pojie.cn/thread-695729-1-1.html https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458288045&idx=1&sn=ae97f4d1575915343a31390d90dd3fcf&chksm=...
VMP分析笔记(cmp命令在VM中的表达)
09-06 545
之前在6月份的时候,突然心血来潮去研究VM,当然那时候全网搜索找相关的文章,但是很多是对我来说是比较深奥的,最起码就是只能看懂一些。然后就写了一篇关于VM的爆破文章,如果你感兴趣的话,可以在本博客找到。 然后经过几天思考,觉得VM还不是我玩的时候,又转向了算法的分析,大家可以去看看文章的发表日期就知道我最近做什么了,O(∩_∩)O哈哈~ 其实就是自娱自乐吧。。找虐 T~T ...
VMP分析之VM解码循环与基本架构(一)
鬼手的博客
10-10 4292
文章目录示例代码VMP区段概览VM基本流程跟踪步入虚拟机解密操作码取handlerVMP解码循环保存寄存器环境总结->VM寄存器的基本架构 示例代码 接下来通过一个简单的Demo来大概了解下VMP代码的整体流程,示例代码如下 #include <windows.h> int Calc(int a, int b) { return a + b; } int main() { Calc(2, 3); system("pause"); } 这里只对Calc函数中的两条汇编指令进行V
一次vmp函数的分析 suctf re400
qq_41071646的博客
08-30 646
最近太难了 好多比赛 打比赛 看题解啥的 都没有时间写博客了 然后 也在看0day安全那本书 这个是一个老哥给我发的一个题目 他和我说 在做一道题 然后是vmp的 然后我就来试一试 先打开ida 看一下 然后 看一下 vmp保护壳的内容 然后 发现确实是vmp 然后找了几个插件 发现这个插件是可以用的 https://bbs.pediy.com/thread-15...
SANGFOR VDC&VMP - 05 服务器虚拟化.ppt
09-20
深信服公司的SANGFOR VDC&VMP平台提供了两种主要的服务器虚拟化方式:快速虚拟化和迁移物理主机,以帮助用户平滑地将物理服务器转变为虚拟机,同时支持不同类型的服务器操作系统和桌面虚拟化需求。 1. **快速虚拟化...
SANGFOR VDC&VMP - 09 桌面虚拟化常见问题.ppt
05-07
《SANGFOR VDC&VMP - 桌面虚拟化常见问题详解及解决策略》 在企业IT环境中,桌面虚拟化技术已经成为提高效率、降低成本的重要工具。SANGFOR VDC(Virtual Desktop Infrastructure)和VMP(Virtual Machine Platform...
VMP分析插件v1.4.rar
03-19
VMP逆向自动分析插件,更快的破解VMP加壳诚信!
安卓逆向学习笔记之FART修复组件和辅助VMP分析.docx
最新发布
03-31
### 安卓逆向学习笔记之FART修复组件和辅助VMP分析 #### FART修复组件概述 在安卓逆向工程领域中,FART(Fast Android Reverse Toolkit)是一款功能强大的工具,它能够帮助开发者和安全研究人员高效地进行Dex文件...
VMP分析插件调试VM
07-16
VMP分析插件调试VM
虚拟机过VMP软件下载
10-18
完全去虚拟化 CPU 显卡 硬盘 主板 网卡 声卡 型号 内存 过检测 修改 过鲁大师 支持多种游戏运行 暴风游戏 :魔兽世界 等 原神 腾讯游戏: DNF CF 等等 私服游戏: 诺亚方舟2 神武 神泣 传奇 steam游戏等等
VMP3.12过虚拟机、调试器检测
05-14
最新的过vmp的方法 拿去吧 祖最新的方式
VMP学习笔记之Handle块优化与壳模板初始化(四)1
08-03
1、名称:谈谈vmp的还原(2) 2、名称:汇编指令之OpCode快速入门 3、名称:X86指令编码内幕 --- 指令 Opcode 码 1、流程 == 加密函
VMP分析一:寄存器赋值分析
weixin_34392843的博客
06-28 259
源码: mov eax,0x123456 进入VM前寄存器和堆栈的值 EAX AAAAAAAA ECX CCCCCCCC EDX DDDDDDDD EBX BBBBBBBB ESP 0018FEE8 EBP EEEEEEEE ESI 99999999 EDI 88888888 EIP 00427079 TestVmp_.00427079 C 0 ES 002B ...
VMP 虚拟机(加壳原理)
hhd1988的专栏
04-29 6419
获取途径 http://www.drmsoft.cn/reseller/vmp.asp 技术剖析 虚拟机保护技术就是将基于x86汇编系统的可执行代码转换为字节码指令系统的代码,以达到保护原有指令不被轻易逆向和修改的目的,这种指令也可以叫伪指令,和VB的pcode有点类似。从本质上讲,虚拟指令系统就是对原本的x86汇编指令系统进行一次封装,将原本的汇编指令转换为另一种表现形式。 push uType push lpCaption push lpText push hWnd, call Message
VMP分析:堆栈运算
weixin_34384915的博客
06-28 98
加密源代码如下: int _tmain(int argc, _TCHAR* argv[]) { printf("start test vmp"); int a,b,c; __asm mov eax,0xAAAAAAAA; __asm mov ebx,0xBBBBBBBB; __asm mov ecx,0xcccccccc; __a...
VMP分析VMP2.13流程分析(三)
鬼手的博客
10-10 1987
文章目录VMP2.X版本特点VMP2.13加壳VMP2.13代码分析进入VM虚拟机保存堆栈保存eflags和edx保存ecx和edi保存ebx保存eax保存ebx ebp和esiVM解码循环解密指令流key解密操作码取加密过的handler解密handler解密操作数执行handler功能VMP2.13流程总结 VMP2.X版本特点 2.X版本的VMP相对于1.0版本来说有下面的变化 自我膨胀,增加了大量混淆指令 VM_Context的存放方式由内存改为栈,vmp1区段也没有了 有专门分析插件,可以帮助分
VMP逻辑运算公式
weixin_33816821的博客
03-24 467
P(a,b) = ~a & ~b not(a) = P(a,a) and(a,b)= P(P(a,a),P(b,b)) or(a,b) = P(P(a,b),P(a,b)) xor(a,b)= P(P(P(a,a),P(b,b)),P(a,b)) 转载于:https://www.cnblogs.com/manhook/archive/2013/03/24/2...
桌面虚拟化问题解决指南:VMP与VDC常见故障排查
"SANGFOR VDC&VMP - 09 桌面虚拟化常见问题.ppt" 在桌面虚拟化环境中,SANGFOR VDC (Virtual Desktop Controller) 和 VMP (Virtual Machine Platform) 提供了一种高效、安全的解决方案。然而,用户在实际部署和使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鬼手56

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值