VMP学习笔记之万用门(七)

最新推荐文章于 2024-04-26 13:54:22 发布
最新推荐文章于 2024-04-26 13:54:22 发布
阅读量1.6k 收藏 6
点赞数
分类专栏: VMP 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014738665/article/details/120722455
版权

参考资料:

1、名称:破解vmp程序的关键点

网址:[原创]破解vmp程序的关键点-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com

2、名称:谈谈vmp的爆破

网址:[原创]谈谈vmp的爆破-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com

3、名称:一个VMP1.20程序的伪指令总结

网址:[讨论]一个VMP1.20程序的伪指令总结-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com

正文:

1、万用门实现逻辑指令

理论知识:

vmp里面只有1个逻辑运算指令 not_not_and 设这条指令为P

P(a,b) = ~a & ~b

这条指令的神奇之处就是能模拟 not and or xor 4条常规的逻辑运算指令

怕忘记了,直接给出公式,后面的数字指需要几次P运算

not(a) = P(a,a) 1

and(a,b) = P(P(a,a),P(b,b)) 3

or(a,b) = P(P(a,b),P(a,b)) 2

xor(a,b) = P(P(P(a,a),P(b,b)),P(a,b)) 5

2、模拟CMP减法指令

理论知识:

参考S大的图

 总结:

通过上述我们可以将操作步骤分为两个部分:

1、模拟sub减法指令

~(~a+b)

2、模拟Eflag标志位

int Eflag1 = (~a+b)

int Eflag2 = ~(~a+b)

int Eflag=(Eflag1 and 0x815) +(Eflag2 and ~0x815)

通过试验证明公式:

随便改个demo去加密看看VMP是如何实现的

 假设:eax = 77523C33 ebx= 7FFD3000

模拟出正确结果:eax-ebx=F7550C33

模拟出正确标志:Elag287

2、1 模拟减法指令

公式:~(~a+b)

假设:eax = 0x77523C33 ebx= 0x7FFD3000

模拟出正确:eax - ebx = 0xF7550C33

0~2 行模拟出~a a = 0x88ADC3CC

3 行(~A+B) (~A+B) = 0x08AB03CC Eflag1 = 0x207

4 行保存Eflag1

5~6 行取出 (~A+B)的结果

7 行 ~(~a+b) ~(~a+b) =0xF7550C33 Eflag2 = 0x286

8 行保存Eflag2

剩下的cmp跟sub唯一区别:sub保留结果、cmp不保留结果

 总结:

我们得到两个关键的数据分别是:

int Eflag1 = (~a+b) 207

int Eflag2 = ~(~a+b) 286

2、2 模拟Eflag标志位

公式:

int Eflag1 = (~a+b)

int Eflag2 = ~(~a+b)

int Eflag=(Eflag1 and 0x815) +(Eflag2 and ~0x815)

第一个ElfagAndConstant模拟出 Eflag1 and 0x815 = 0x5

第二个ElfagAndConstant模拟出 Eflag2 and ~0x815 = 0x282

然后就VM_ADDF = 0x282+0x5= 0x287

最后VM_POP_CONTEXT 保存0x287标志位

 细看第一个ElfagAndConstant函数(就是模拟and指令)第二个同理

VM_PUSH_CONTEXT 取 Eflag1 = 0X207

VM_PUSH_CONTEXT 取 Eflag1 = 0X207

VM_NOR ~Eflag1 = 0XFFFFFFFFFFFFFDF8

VM_PUSH_IMM ~815 = 0X7EA

VM_NOR ~Eflag1 and ~0X7EA = 207 and 815

转了一圈发现是模拟and(a,b) = P(P(a,a),P(b,b)) 3

那么第一个(Eflag1 and 0x815) = 0x207 and 0x815 = 0x7

2、3 题外话

感谢群里小零大佬提供0x811与0x815等价

811其实就是

OF,AF,CF

而PF,ZF,SF不管是add还是sub,or,and计算出来都是一样的

通过nor计算出PF,ZF,SF和

add出来的标志位合并一下就好了

3、模拟JXX指令

理论知识:

 EFLAGS中的状态标志

EFLAGS的状态标志代表什么意思呢?它们代表的是算数指令(arithmetic instruction)的结果状态,算数指令就是大家熟悉的的加减乘除,ADD,SUB,MUL和DIV,当然还有很多其他指令暗含有这些基本的算数指令,比如cmp指令就暗含有sub操作,因此cmp也会影响状态标志。

typedef struct _EFLAGS

{

unsigned CF : 1; // 进位或错位

unsigned Reservel1 : 1; // 对Dr0保存的地址启用 全局断点

unsigned PF : 1; // 计算结果低位包含偶数个数1时 此标志位1

unsigned Reservel2 : 1; // 对Dr0保存的地址启用 全局断点

unsigned AF : 1; // 辅助进位标志 当位3处 有进位或结尾时 该标志为1

unsigned Reservel3 : 1; // 保留

unsigned ZF : 1; // 计算结果为0时 此标志位1

unsigned SF : 1; // 符号标志 计算结果为负时 该标志位1

unsigned TF : 1; // 陷阱标志 此标志为1时 CPU每次仅会执行一条指令

unsigned IF : 1; // 中断标志 为0时禁止响应(屏蔽中断) 为1回复

unsigned DF : 1; // 方向标志

unsigned OF : 1; // 溢出标志 计算结果超过表达范围为1 否则为0

unsigned IOPL : 2; //用于标明当前任务的I/0特权级

unsigned NT : 1; // 任务嵌套标志

unsigned Reservel4 : 1; // 对Dr0保存的地址启用 全局断点

unsigned RF : 1; // 调试异常相应标志位 为1禁止相应指令断点异常

unsigned VM : 1; // 为1时启用虚拟8086模式

unsigned AC : 1; // 内存对齐检查标志

unsigned VIF : 1; // 虚拟中断标志

unsigned VIP : 1; // 虚拟中断标志

unsigned ID : 1; // cpuID检查标志

unsigned Reservel5 : 1; // 保留

}EFLAGS, *PEFLAGS;

关系运算和条件跳转的对应

通过试验证明公式:

随便改个demo去加密看看VMP是如何实现的

jxx需要保存了两个信息,跳转成立(401005)与跳转不成立(401004)两种

 总结:

1、jxx我们需要准备两个跳转地址。

2、判断Eflag特定位数的值是否为1,然后进行相应的跳转

3、我们写的demo中ZF标志位必然是成立的,jz XXX是跳的401005

3、1 实践(ZF)

1、关于jxx处理的函数地址,只关注0x32的jxx系列

 2、首先Push两个加密跳转地址,后面根据运算结果来判断使用哪个地址

具体跳转地址A还是地址B取决于前面一句cmp ebx,ebx

 3、计算出Eflags右移X位 > Size,我们的例子flags是0x40,Size_1=4,那么v8就是4次了

 4、首先取Eflags标志位,再压入~0x40入栈,最后再进行NOR(~0x40, Eflags )操作

可以简化成0x40 and ~ Eflags

 5、根据VM_NOR结果取决使用哪个地址:+0地址1 +4地址2

 6、总结下前面流程

整理下流程(数据参考demo)可以分为三步骤:

1、保存跳转地址A和B

2、计算eflags zf的数值,返回对应的结果

公式:

ZF = 0x40 and ~ELFGS

3、根据结果ADD进行跳转地址A或B

伪代码如下:

序号伪指令说明
0VM_PUSH_IMM加密跳转地址A入栈
1VM_PUSH_IMM加密跳转地址B入栈
2VM_PUSH_ESP保存当前Esp
3VM_PUSH_IMMW配合后面的SHR或SHL,注意这里是保存2字节
4VM_PUSH_CONTEXT取堆栈中ELFGS标志位,0x246
5VM_PUSH_IMM保存~0x40,后面用来VM_NOR计算
6VM_NOR0x40 and ~0x246 = 0
7VM_SHR!=是4,==就是0
8VM_ADDF根据VM_SHR返回值决定指向跳转地址A(+0)或则B(+4)
XXXXXX

7、OD实战数据

VM_PUSH_IMM 加密地址A入栈(401004)

0012FF88 4C69E901 加密地址A

VM_PUSH_IMM 加密地址B入栈(401005)

0012FF84 4C69F601 加密地址B

0012FF88 4C69E901 加密地址A

VM_PUSH_ESP

0012FF80 0012FF84 保存ESP,后面+0还是+4来指向加密地址A、B

0012FF84 4C69F601

0012FF88 4C69E901

VM_PUSH_IMMW 配合后面的SHR或SHL

0012FF7E FF840004 注意这个4,后面与VM_NOR的结果做运算

VM_PUSH_CONTEXT 取ELFGS标志位

0012FF7A 00000246 这里取出了Elfgs的值,前面cmp ebx,ebx执行完毕的值

PUSH_IMM

0012FF76 FFFFFFBF 保存~0x40的值,后面要跟Elfgs运算

VM_NOR

0012FF7A 00000000 0x40 and ~0x246 = 0 ,相同0,不同0x40

VM_SHR 注意这里是区分跳转A和B的关键

0012FF7C 00000000 相同=0,不同=4

0012FF80 0012FF84

0012FF84 4C69F601

0012FF88 4C69E901

ADD_F 判断+0还是+4来指向加密跳转地址A还是B

0012FF80 0012FF84 根据SHR的值 0(4) + 0x12FF84

0012FF84 4C69F601

0012FF88 4C69E901

VM_MOV_XSA_TO_B 取地址的值

0012FF80 4C69F601

0012FF84 4C69F601

0012FF88 4C69E901

后面的操作就是解密跳转地址,然后设置Esi的值跳到401005执行。懒的写下去了,核心都写完了。

鱼无伦次
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vmp所有版本脱壳分析教程!
05-01
这是lcf所有的vmp脱壳教程,希望大家喜欢!
VMProtect 学习笔记(转载)
09-06 283
写的不错,分享下。。。 MProtect之所以叫做VMProtect,因为它是以VM(Virtual Machine)虚拟机为核心来实现的,这里的虚拟机并不是传统意义上的虚拟机,其是将汇编指令进行虚拟化,让其失去原本容易理解的含义,增大对逆向工程的难度。 一.虚拟机 1) 虚拟机指令(VM_Handler) VMP中的虚拟机指令可分为一下几类: 出入栈:PushReg...
Nooby的VMP教程 part1
09-27
Nooby的VMP教程脱壳!!!!!!!!!!!!!!!!!!!!!
VMP脱壳教程 BY Nooby
08-05
VMP手动脱壳教程,由Nooby大牛制作
汇编语言sub指令用法_VMP学习笔记之壳基础流程、X86指令Opcode快速入
weixin_39538451的博客
12-09 1233
本文为看雪论坛优秀文章看雪论坛作者ID:黑手鱼【加壳方式】UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi)【编写语言】Borland Delphi 4.0 - 5.0【操作平台】Win7 32位【作者声明】以看雪作者waiWH的VMP还原系列为参考原型逆向分析壳基础流程说明:加壳机的壳是秒杀壳,自行百度HelloASM.exe是测试demo保护全关>...
VMP学习笔记之壳基础(一)
u014738665的博客
10-12 3820
【文章标题】: Vmp1.21学习笔记 【文章作者】: 黑手_鱼 【软件名称】: Vmp1.21 【下载地址】: 自己搜索下载 【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) 【编写语言】: Borland Delphi 4.0 - 5.0 【操作平台】: win7 32位 【作者声明】: 以看雪作者waiWH的VMP还原系列为原型逆向分析 ---------------------------------------------------
VMP学习笔记之反汇编引擎学习(三)1
08-03
解码器解码的唯一途径就是按指令编码的序列进行解码,关键是第 1 字节是什么?如:遇到 66h,它就是 prefix,遇到89h,它就是 Opcode。函数作用:
VMP学习笔记之Handle块优化与壳模板初始化(四)1
08-03
1、名称:谈谈vmp的还原(2) 2、名称:汇编指令之OpCode快速入 3、名称:X86指令编码内幕 --- 指令 Opcode 码 1、流程 == 加密函
VMP学习笔记之X86指令之Opcode快速入(二)1
08-03
LOCK前缀(F0H)在多处理器环境下强制执行独占共享内存操作.详见《Instruction Set Reference, A-M》第三章"LOCK – 断言L
VMP学习笔记之ESI伪代码生成与加密(六)1
08-03
第六章主题:VMP学习笔记之ESI伪代码生成与加密1、构造ESI指令的基本套路2、ESI伪代码加密(保持一致性,前面对Add系列构造出解密代码,所以这里要反向加
VMP2.05脱壳学习笔记
12-06
目前最专业ollydebug专业级的笔记,收藏多年,希望对你有帮助。
Linux系统安全及应用(1)
煤五千的博客
04-26 1302
usermod -s /sbin/nologin 用户名usermod-L用户名passwd-S用户名passwd-用户名userdel [-r]用户名。
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Yolov5目标检测和deepsort目标跟踪无人机跟踪.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
wasm + vmp
09-14
VMP (Virtual Machine Protection) 是一种用于保护软件的技术,它通过对软件进行虚拟化处理,增加反调试、反逆向工程等保护机制,从而提高软件的安全性。VMP可以将软件转换为一种虚拟机的形式,在虚拟机环境中执行,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值