python 编译成exe vmp加密_[分享]某vmp壳原理分析笔记

最新推荐文章于 2023-09-05 13:13:49 发布
最新推荐文章于 2023-09-05 13:13:49 发布
阅读量968 收藏 2
点赞数
文章标签: python 编译成exe vmp加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30369405/article/details/112018386
版权

某vmp壳原理分析笔记

分析的样本为某数字公司最新免费壳子。之前的壳子已经被很多大佬分析了,这篇笔记的主要目的是比较详细的分析下该vmp壳子的原理,数字壳子主要分为反调试,linker,虚拟机三部分。笔记结构如下:

反调试

时间反调试

rtld_db_dlactivity反调试

traceid反调试

端口反调试

linker部分:用来加载第二个so

装载

创建soinfo

链接

dump second so

虚拟机部分:解释执行保护的代码

dump dex

onCreate分析

虚拟机入口

准备部分

因为懒得hook系统函数,每次过反调试就要手工更改寄存器的值,所以用IDAPython来模拟手工调试,下面是一些辅助函数,其中addBrk根据模块名和偏移地址下断点,fn_f7, fn_f8, fn_f9分别模拟f7, f8, f9.

def getModuleBase(moduleName):

base = GetFirstModule()

while (base != None) and (GetModuleName(base).find(moduleName) == -1):

base = GetNextModule(base)

if base == None:

print "failed to find module: " + moduleName

return None

else:

return base

def addBrk(moduleName, functin_offset):

base = getModuleBase(moduleName)

AddBpt(base + functin_offset)

def fn_f7():

idaapi.step_into()

GetDebuggerEvent(WFNE_SUSP | WFNE_SUSP, -1)

def fn_f8():

idaapi.step_over()

GetDebuggerEvent(WFNE_SUSP | WFNE_CONT, -1)

def fn_f9():

idaapi.continue_process()

GetDebuggerEvent(WFNE_SUSP | WFNE_CONT, -1)

def delBrk(moduleName, function_offset):

base = getModuleBase(moduleName)

DelBpt(base + function_offset)

反调试

时间反调试

反调试的第一处就是时间反调试,在反调试的开始调用time获取时间,在结束再调用一次time,当差值大于3就会触发反调试。因为使用脚本过反调试,所以两次时间差肯定是小于3的,所以只是用脚本简单的输出时间就可以了。0x19FC是time在libjiagu.so的plt段地址。

#add breakpoint at time

addBrk("libjiagu.so", 0x19FC)

fn_f9()

delBrk("libjiagu.so", 0x19FC)

print("first call time")

lr = GetRegValue("LR")

AddBpt(lr)

fn_f9()

r0 = GetRegValue("R0")

DelBpt(lr)

print("first get time: %x" % (r0))

rtld_db_dlactivity反调试

rtld_db_dlactivity函数:这个函数默认情况下为空函数,这里的值应该为0,而当有调试器时,这里会被改为断点指令,所以可以被用来做反调试。libjiagu.so的sub_1E9C就是用来查找rtld_db_dlactivity函数的地址的。sub_1E9C的代码就不贴了。过这个反调试我们就可以在sub_1E9C返回后,获取到rtld_db_dlactivity的地址,然后将其修改为nop指令0x46C0。

#add breakpoint at sub_1E9C

addBrk("libjiagu.so", 0x1E9c)

fn_f9()

delBrk("libjiagu.so", 0x1E9c)

print("call sub_1E9C")

#add breakpoint at return from sub_1E9C

lr = GetRegValue("LR")

AddBpt(lr)

fn_f9()

DelBpt(lr)

#get rtld_db_dlactivity address

r0 = GetRegValue("R0")

print("rtld_db_dlactivity address is: %x" % (r0 - 1))

#set rtld_db_dlactivity nop

PatchDword(r0 - 1, 0x46c0)

tracepid反调试

tracepid反调试:当我们使用Ptrace方式跟踪一个进程时,目标进程会记录自己被谁跟踪。过tracepid反调试可以在调用strtol后,将其返回值修改为0.

#add breakpoint at strtol

addBrk("libjiagu.so", 0x1A80)

fn_f9()

delBrk("libjiagu.so", 0x1A80)

print("call strtol")

lr = GetRegValue("LR")

#add breakpoint at return from strtol

AddBpt(lr)

fn_f9()

DelBpt(lr)

r0 = GetRegValue("R0")

print("get trace id: %x" % (r0))

SetRegValue(0, "R0")

端口反调试

检测IDA的默认端口23946是否被占用,通过跟踪,可以发现sub_6DD0()函数判断23946端口是否被占用。原理就是查看/proc/net/tcp,过端口反调试,就可以通过更改sub_6DD0的返回值。

#add break point at sub_6DD0

addBrk("libjiagu.so", 0x6DD0)

fn_f9()

lr = GetRegValue("LR")

print("call sub_6DD0")

delBrk("libjiagu.so", 0x6DD0)

AddBpt(lr)

fn_f9()

SetRegValue(0, "R0")

DelBpt(lr)

时间反调试

在反调试的最后还会调用一次time,计算差值,因为使用脚本过得,所以时间差值肯定小于3,这里只是简单输出一下时间

#add break point at time in sub_6EF8

addBrk("libjiagu.so", 0x19FC)

fn_f9()

delBrk("libjiagu.so", 0x19FC)

print("second call time")

lr = GetRegValue("LR")

AddBpt(lr)

fn_f9()

DelBpt(lr)

r0 = GetRegValue("R0")

print("second get

最低0.47元/天 解锁文章
京一不二
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python 编译成exe vmp加密_Python vmp包_程序模块 - PyPI - Python中文网
weixin_39997695的博客
12-29 437
vmpy是评估typical的工具箱。骑行性能指标来自骑行数据,如功率、心率、速度,梯度,节奏流。包中的所有函数都遵循惯例,其中输入/输出格式要么是传统的python内置数据结构或者是nd数组。这种设计选择有利于轻松集成到其他项目中,例如velometria.com为了帮助您入门,vmpy还为Strava API。安装正式发布:pip install vmpy正在进行的边缘工作:pip insta...
python 编译成exe vmp加密_简单分析VMProtect V3.3.1
weixin_35094917的博客
12-29 893
本帖最后由 Crazyman_Army 于 2019-2-15 15:05 编辑前言VMProtect3很早就出来了,据说代码使用C++重构了,而且虚拟机架构也有很大的变化。网上关于VMP3.X的帖子不是很多,我这个弱鸡也来上篇文章分析一下。文章里面用到了一个解混淆的脚本,附录中我会给出这个破脚本的下载链接及大概原理。三十二变2019.2.13准备工作先对一段VREY EASY的汇编代码进行加密。...
VMP加密脚本生成.exe
04-07
这是一个非常实用的VMP加密脚本生成工具;这也是一款可以超强保护文件防止破解的加工具,软件设计员的绝佳伴侣!
python 编译成exe vmp加密_加密软件VMProtect入门教程
weixin_42525261的博客
02-19 1883
现如今不少软件作者为选择一款合适的加密软件而困惑。建议作者不要太依赖的保护,大多数是可以被攻破的,还是在自身保护上下些功夫。选择的时候,更多的时候考虑其兼容性。现在的发展一个趋势就是虚拟机保护,利用虚拟机保护后,能大大提高强度,因此建议尽可能使用此类技术保护软件。如Themida ,WinLicense,EXECryptor等带有虚拟机保护功能,因此得用好其SDK。而VMProtect是一...
python 工程结构加固_[原创]某企业级加固[四代]VMP解释执行+指令还原
weixin_39738152的博客
12-10 754
现在的VMP的比较常见了,应该也是稳定性满足要求了,今天来分析一波,如有不当还请各位大佬指正实际上 libdexjni.so在不同的APP中体积会不一样,应该是硬编码写入字符串和指令导致的1-VMP还是先看下opcode部分知识,DEX指令格式代码转换成DEX指令先看代码对应的第一条指令是每条指令是2字节,所以先看第一条 6f 20,根据官方文档 6F的解释是 invoke-super 格...
VMP加密工具
10-04
VMP加密工具
VMp.rar_VMProtectSDK.h 3711_VMP优化工具_vmprotect mingw_vmp加密_vmp文件
07-15
VMp——一款可以超强保护文件防止破解的加工具,软件设计员的绝佳伴侣!
zeus.rar_.svmp_ZEUS脱_Zeus脱_vmp官网_vmp插件
07-14
大牛的脱VMP的插件,一般的VMP都能脱掉
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱_vmp3.0-3.0x脱_vmp一键脱_v
07-15
VMP,通过简单几个步骤不需要去研究VMP原理了。
发仔制作vmp加密工具源码密码1
08-29
VMP加密是一种常见的软件保护技术,用于保护程序免受逆向工程的攻击,从而防止源代码被非法获取和篡改。"发仔制作vmp加密工具源码"可能是由一个名叫“发仔”的开发者或团队制作的一款VMP加密的源代码,而...
易语言编译后自动添加VMP插件
06-02
添加VMP加密会影响执行效率,请适当使用。文采不好 不做过多解释。直接上源码。支持库模版源码来自:洫蜘蛛。VMP版本为2.13.8。@醉酒成梦°。
VMP加密.Net AOT的强度
dotNET跨平台
08-30 415
1.前言之前研究过dnguard_hvm,这个东西的强度是可以的。但是破绽也很明显。料想vmp也是如此,不过研究下来。vmp的强度可能更高点,它需要涉及到内核驱动的反调试。本篇来看下。2.概括一:托管的困扰vmp貌似只能加密exe,但是托管的exe只是一个启动程序(这点可以参考这篇文章:Exe和托管DLL区别是什么),也就是启动clr让clr加载托管dll。所以托管的代码实际上都在dll里面。vm...
初试jsvmp加密
最新发布
qq_59848320的博客
09-05 1917
参考文章:企鹅滑块collect参数逆向思路 - 知乎 (zhihu.com)腾讯滑块collect分析_y小白的笔记的博客-CSDN博客兴趣交流群:835342318。
VMP虚拟机加原理学习
weixin_34267123的博客
09-28 1141
好久没有到博客写文章了,9月份开学有点忙,参加了一个上海的一个CHINA SIG信息比赛,前几天又无锡南京来回跑了几趟,签了阿里巴巴的安全工程师,准备11月以后过去实习,这之前就好好待在学校学习了。 这段时间断断续续把《加密与解码 第三版》给看完了,虽然对逆向还是一知半解,不过对VMP虚拟机加这块有了一点新的认识。这里分享一些笔记和想法,没有新的东西,都是书上还KSSD里看来的,权当笔记分享...
电脑PC软件 EXE软件文件加密工具
软希网分享源码的博客
10-25 2000
电脑PC软件 EXE软件文件加密工具
VMP学习笔记之ESI伪代码生成与加密(六)
u014738665的博客
10-12 1134
第六章 主题:VMP学习笔记之ESI伪代码生成与加密 1、构造ESI指令的基本套路 2、ESI伪代码加密(保持一致性,前面对Add系列构造出解密代码,所以这里要反向加密) 3、总结加流程 学习到的知识: 1、知道Handle块生成的套路即可(核心) 2、Esi伪代码加密不需要深入了解,为了完整性我才写下去(无用) 基础知识: 1、熟悉的都会发现入口都是: pushad pushfd XXXX popad popfd 前后基本是固定的套路,主要是中间真正模拟的代码不
chatgpt赋能pythonPython程序加解析:可靠安全的保护代码方式
www_xuhss_com的博客
06-25 816
”是一种保护应用程序,它是在代码中插入一段代码,用于控制、保护、隐藏、加密或修改应用程序的流程。一个经过包装的程序在加后不能被直接浏览或修改。攻击者将无法轻易地进行逆向工程或破解出程序的逻辑。Python程序加技术是一种可靠安全的保护代码方式,代码混淆和资源文件加已经成为了Python代码保护的常用方法。在选择加工具时,需要根据程序需求选择合适的加工具,同时要注意保持程序的正常运行、安全性和可靠性的平衡。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是。
Python+Vue计算机毕业设计健身房管理系统m127n(源码+程序+LW+部署)
万青JAVA毕设源码
12-31 847
Python3.7.7+Django+Mysql5.7+pip list+HBuilderX(Vscode也行)+Vue+Pychram社区版。2. 前端:vue+css+javascript+jQuery+easyUI+highcharts。2.IDE环境:PythonPython 社区版都可以。Django + Vue +Python+Mysql 等等组成,B/S模式等等。该项目含有源码、文档、程序、数据库、配套开发软件、软件安装教程。1. 后端:Python、Vue、Django、Mysql。
__stdcall,__cdecl,__pascal,__fastcall的区别
DynamicComp的专栏
07-01 462
__cdecl __cdecl 是 C Declaration  的缩写,表示 C 语言默认的函数调用方法:所有参数从右到左依次入栈,这些参数由调用者清除,称为手动清栈。被调用函数不会要求调用者传递多少参数,调用者传递过多或者过少的参数,甚至完全不同的参数都不会产生编译阶段的错误。 __stdcall __stdcall 是 Standard Call 的缩写,是 C++ 的
VMP技术解析:Handle块优化与模板初始化
在结构体使用方面,笔记指出模板和用户代码都会通过`Vmp_AllDisassembly`函数进行解析,而且0x8和0x10字段通常都指向相同的结构体。作者还提到了根据`pNtHeader_OptionalHeader.Magic`筛选`ESI_Matching_Array`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值