php opcode逆向还原,[原创]VM代码的还原-插件篇

最新推荐文章于 2023-01-03 11:31:08 发布
最新推荐文章于 2023-01-03 11:31:08 发布
阅读量1.4k 收藏 2
点赞数
文章标签: php opcode逆向还原

首先,先给出几个工具.大概都是伪码类的.之前也介绍过.首先推荐的是zdhysd 师傅的VMP分析插件 1.4 之前介绍过了..

下载地址:http://bbs.pediy.com/thread-154621.htm

剩下的大家也都用过.一个是木木老师的OoWoodOne 堪比Ximo师傅的zeus 个人用的觉得比zeus更好用一点.而且带源码.

下载地址:http://bbs.pediy.com/thread-203683.htm

其他的一些ximo老师的zeus,noboy老师FkVMP 之类的大家都熟悉就不提了..伪码类的VMP分析插件 1.4 用起来很好.除了某些小问题.而且最主要可以自定义规则识别.这个是很强大的地方..如果,对代码很熟悉那么还原起来 还是比较快的.只不过是手动还原罢了.容易出错.这些主要都是逻辑还原.本人觉得从技术上来讲纯asm还原并不现实.因为,我们所谓的轮转机制只不过是一个用寄存器体系 去理解的VM.跟实际寄存器并没有什么关系. 对于VM分析来讲  你用的是哪个寄存器 对我们对VM进行分析 并无影响.可以用伪码进行代表 还原逻辑.然后 再反推寄存器.这是一个很大的工程..根据我已知的消息.其实 已经有很多还原引擎 只不过 我们这些菜鸟未曾一见. 比如大部分cug ccg的前辈....好啦 吹逼就到这里.VM机制不是这个帖子要讲的.如果要讲 也不是我这个菜鸟能讲的..我只聊聊插件怎么用...233333很早之前用过VMSweeper1.4  觉得不太好用 之后就没有关注过.然后,这几天有个项目要还原VM.开始的时候 用ZEUS 分析好vmhandler 然后到VMVMP 也就是 disp什么的那个地方 分配跳转的..英文不好.专业名词不会.大概理解吧...手动记事本写了三页..瞬间觉得不是人做的工作..心好痛.又不会编程.得了吧..找找现成插件吧..开始的时候用的VM 分析插件handler 分析没错 但是算法分析有问题.调试起来问题很多..蛋疼的一腿..然后 就拿起了.VMSweeper 但是,还是不行.局限性太大...可是 默默的发现了 这玩意 还原VM还原起来 很是舒服啊. 除了很多插件上的BUG 但是 堆栈反推没有出错.于是有了这篇文章.事先说明.这些插件使用的局限性很大.毕竟一个系统的还原插件不是一时可以写出来的.就算写出来 大部分师傅 也只是 扔着烂硬盘....对 别看别人 就是你brack老师....这篇文章 我只是简单讲解一下.实际应用之中会遇到很多问题.大部分时候不适合实际应用....开课:先上未被VM时候的原始代码004010A1  /.  55            push ebp

004010A2  |.  8BEC          mov ebp,esp

004010A4  |.  81EC 0C000000 sub esp,0xC

004010AA  |.  C745 FC 00000>mov [local.1],0x0

004010B1  |.  C745 F8 00000>mov [local.2],0x0

004010B8  |.  EB 10         jmp short 测试.004010CA

004010BA  |.  56 4D 50 72 6>ascii "VMProtect begin",0

004010CA  |>  B8 A8E64700   mov eax,测试.0047E6A8                      ;  ASCII "23333"

004010CF  |.  50            push eax

004010D0  |.  8B5D FC       mov ebx,[local.1]

004010D3  |.  85DB          test ebx,ebx

004010D5  |.  74 09         je short 测试.004010E0

004010D7  |.  53            push ebx

004010D8  |.  E8 00010000   call 测试.004011DD                         ;  jmp 到 

004010DD  |.  83C4 04       add esp,0x4

004010E0  |>  58            pop eax

004010E1  |.  8945 FC       mov [local.1],eax

004010E4  |.  B8 AEE64700   mov eax,测试.0047E6AE                      ;  你猜

004010E9  |.  50            push eax

004010EA  |.  8B5D F8       mov ebx,[local.2]

004010ED  |.  85DB          test ebx,ebx

004010EF  |.  74 09         je short 测试.004010FA

004010F1  |.  53            push ebx

004010F2  |.  E8 E6000000   call 测试.004011DD                         ;  jmp 到 

004010F7  |.  83C4 04       add esp,0x4

004010FA  |>  58            pop eax

004010FB  |.  8945 F8       mov [local.2],eax

004010FE  |.  8B45 F8       mov eax,[local.2]

00401101  |.  50            push eax

00401102  |.  FF75 FC       push [local.1]

00401105  |.  E8 FAFEFFFF   call 

0040110A  |.  83C4 08       add esp,0x8

0040110D  |.  83F8 00       cmp eax,0x0

最低0.47元/天 解锁文章
秦少爷的琪琪
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php反编译opcode,从HGAME的pyc逆向来看手撸opcode
weixin_39521651的博客
04-07 876
一次pyc文件恢复Python Pyc的文件格式[compile.h]/* Bytecode object */typedef struct {PyObject_HEADint co_argcount; /* #arguments, except *args */int co_nlocals; /* #local variables */int co_stacksize; ...
LINUX下PHP安装VLD扩展,利用opcode优化php代码
天下熙熙,皆为利来;天下攘攘,皆为利往。
07-22 792
1)查看opcode代码: 下载与安装VLD# wget http://pecl.php.net/get/vld-0.11.2.tgz # tar zxvf vld-0.11.2.tgz # cd ./vld-0.11.2 # /usr/bin/phpize //或者直接phpize # ./configure --with-php-config=/usr/bin/ph
[PHP]浅谈php混淆与反混淆
cosmoslin的博客
03-11 4057
PHP编译 PHP是解析型高级语言,事实上从Zend内核的角度来看PHP就是一个普通的C程序,它有main函数,我们写的PHP代码是这个程序的输入,然后经过内核的处理输出结果,内核将PHP代码"翻译"为C程序可识别的过程就是PHP的编译。 C程序在编译时将一行行代码编译为机器码,每一个操作都认为是一条机器指令,这些指令写入到编译后的二进制程序中,执行的时候将二进制程序load进相应的内存区域(常量区、数据区、代码区)、分配运行栈,然后从代码区起始位置开始执行,这是C程序编译、执行的简单过程。 同样,PHP
php 执行opcode,PHP编译原理之Opcode ( Operation Code ) PHP代码执行过程
weixin_36411280的博客
03-10 524
Opcode是什么?我们都知道,计算机是不能直接理解高级语言的,“高级语言”是给程序员看的,最终高级语言都会被编译或者解释成能被机器理解的语言,也就是机器语言,才能被计算机执行。Opcode就是php脚本编译后的中间语言,就像JAVA中的ByteCode字节码类文件。举个例子:比如,我们写下了这段代码PHP语言引擎Zend执行这段代码会经过四个步骤:Scanning(Lexing) :将PHP代...
php 执行opcode,php-5.6.26源代码 - PHP文件编译成opcode、执行
weixin_42363315的博客
03-10 150
文件 php-5.6.26/Zend/zend.cZEND_API int zend_execute_scripts(int type TSRMLS_DC, zval **retval, int file_count, ...) /* {{{ */{va_list files;int i;zend_file_handle *file_handle;zend_op_array *orig_op_ar...
PHP的zend引擎运行流程(opcode)了解下
luyaran的博客
06-25 773
    相信大家对PHP的核心架构图也是有所了解的,本人也就不做过多赘述了。这次咱们就来简单了解下这个核心中的核心---zend引擎。    百度上对它的定义是这样的:一个开源的脚本引擎(一个虚拟机)。它的优势也是明显的,首先它把边解释边运行的方式变为先进行预编译(compile),再执行(execute)的方式极大提高了php的运行效率和执行效率,其次由于实行功能分离,它还降低了模块间的耦合度,...
Lua游戏逆向及破解方法介绍
zhangmiaoping23的专栏
01-26 1万+
转:http://gad.qq.com/article/detail/21645 背景介绍   随着手游的发展,越来越多的Cocos-lua端游开发者转移到手游平台。Lua脚本编写逻辑的手游也是越来越多,如梦幻西游、刀塔传奇、开心消消乐、游龙英雄、奇迹暖暖、疾风猎人、万万没想到等手游。随着Lua手游的增加,其安全性更值得关注,在此归纳一些常用的分析方法,同时介绍一些辅助工具。  
PHP 5.3 OPCODE工具(用于zend 加密php 5.3分析,逆向)
08-07
php opcode的反解,用于分析PHP ,逆向PHP 加密,由OPCODE转换PHP代码. WINDOWS 版本的使用: 开始,运行,CMD 进入PHP所在目录,执行: Php.exe –c php.ini 111.php 回车,即可查看:111.phpOPCODE值. 用这个工具,可以...
php代码-CCMS-PHP
07-16
PHP代码-CCMS-PHP】是一个基于PHP编程语言的项目,主要关注的是内容管理系统(Content Management System,简称CMS)的实现。在这个项目中,`main.php`是核心的入口文件,而`README.txt`则提供了项目的说明和指导...
PHP7如何开启Opcode打造强悍性能详解
10-18
描述中提到,Opcache是PHP官方公司Zend开发的优化加速组件,能够将PHP代码预编译成Opcode并缓存,从而在后续请求中避免重复编译,提高性能。 Opcache(前身是Optimizer+)的核心功能是将PHP代码转换为中间语言——...
利用PHP扩展vld查看PHP opcode操作步骤
12-19
首先下载最新版vld扩展: 复制代码 代码如下: ~/public_html/php-5.3.13/ext> wget http://pecl.php.net/get/vld-0.11.2.tgz ~/public_html/php-5.3.13/ext> tar zxvf vld-0.11.2.tgz ~/public_html/php-5.3.13/ext> cd vld-0.11.2/ 接下来编译安装vld扩展: 复制代码 代码如下: ~/public_html/php-5.3.13/ext/vld-0.11.2> phpize ~/public_html/php-5.3.13/ext
超强php程序的反编译工具
12-01
Windows7及vista系统可用,但需要去掉UAC,或者用管理员权限运行主程序。 如无意外,黑刀Dezender 5.0 三套解密内核版 将会是最终版本,除非新的解密内核出现,否则今后也将不再更新,也请勿再加本人QQ咨询任何关于Zend解密的问题!感谢各位黑刀爱好者关注,敬请期待本人其他作品。谢谢! 反馈问题情况汇总: 1、有很多朋友说下载了最新版还是解不出来,是因为他们把程序放在了桌面上或者Program Files目录下。大家一定要记得,不要把黑刀Dezender的主程序以及需要解密的PHP文件放置在目录名包含空格的目录内,比如桌面、Program Files目录等,除了目录名不能包含空格以外,也不能包含英文的句号,以免程序将目录当做文件来处理,造成无法解密的情况。还有一种可能性,是因为被加密了的PHP文件采用了最新版的Zend来进行的加密,所以黑刀Dezender解不出来。 2、解密出来的文件有“乱码”:这种情况通常是因为PHP程序在加密时采用了混淆函数,而所使用的函数又是Dezender无法识别的,所以在函数的部分变成了“乱码”。目前唯一的解决办法只能是更新自己的混淆函数库来尝试解密,别无他法。 3、网友“李向阳”问:“我解开的文件能读,但是有很多很基本的语法问题。不知道是怎么回事!” 对于这个典型问题,我只能回答说,解密出来的文件不可能百分百还原为原始未加密的文件的。在遇到需要手工去修复代码的情况时,就要求Dezender的使用者具备相应的PHP程序编写知识。如果不具备?自己找书找资料看。呵呵。 4、如果出现如下的错误提示:“无法判断程序输入点于动态链接库php5ts.dll上”说明dezender和原有的PHP环境冲突,可考虑卸载原有PHP环境,或安装虚拟机,在虚拟机上使用dezender。实在不行,换台电脑试试看吧。呵呵。虚拟机的下载地址:http://tmd.me/2008/read.php?5 重要声明:   黑刀Dezender本身只是个集成工具而已,主程序实际上只是用Delphi开发的GUI界面的外壳程序,核心的解密功能部分来自互联网上的收集整理,我所做的外壳编程,仅是在原有的各个解密内核版本Dezender的功能上,开发基于windows的用户界面,以便于使用者对原有类似“DOS”环境下的各种应用功能的Windows实现。   关于加密保护自己的PHP程序的问题:   类似微盾加密的、可以混淆函数和变量的加密方式,官方名字叫做“PHPlockit”,微盾的php加密专家也有类似的功能,但似乎会造成程序无法正确运行。目前在我没有开发新版的解密工具之前,据我所知除我之外能手工解密“类微盾加密混淆函数及变量”的人并不多,大家可以试试。其他比较安全的加密方式比如Ioncube等也可以使用,只是国内支持该加密方式的虚拟主机不多,如果是独立服务器,可以考虑采用。   而Zend的混淆函数也是至今无法完全突破的问题,大家在开发自己的PHP程序时,可以采用较长的自定义函数名和变量名,这样Dezender就无法正确的识别出明文来了,就算解密掉程序本身,因为函数和变量都已经被混淆,自然也很难让程序正确运行了。
PHPopcode缓存简单用法分析
10-18
主要介绍了PHPopcode缓存简单用法,结合实例形式分析了opcode的概念、原理、简单开启与使用方法,需要的朋友可以参考下
PHP OPCode缓存 APC详细介绍
10-28
在解释型语言PHP中,代码需要经过解释器逐行解析成操作码(OPCode)才能执行,这个过程在每次请求时都会发生,导致性能损耗。OPCode缓存机制可以将解析后的OPCode存储在内存中,避免了重复解析,显著提升了PHP应用的...
【网络安全】php代码保护——PHP加密方案分析&解密还原
baidu_41678158的博客
01-03 822
在选用PHP源码保护方案时 尽量选择opcode或虚拟机方案源代码混淆类只能对源代码获取和阅读增加一点困难 在加密扩展可被攻击者获取到时并不能起到保护作用【点击查看资料】
PHP安装与使用VLD查看opcode代码PHP安装第三方扩展的方法】
热门推荐
无界编程
11-23 2万+
需要分析PHP代码的性能,或者说实现同样功能的代码到底哪个更好呢?或者说想知道底层的实现可以使用VLD查看opcode下载与安装VLD# wget http://pecl.php.net/get/vld-0.11.2.tgz# tar zxvf vld-0.11.2.tgz# cd ./vld-0.11.2# /usr/local/php/bin/phpize              或者直接p
PHP 编译后的 OPCode 说明
晨风的博客
11-23 902
何为 OPCode ? 在计算机科学领域中,操作码(Operation Code, OPCode)被用于描述机器语言指令中,指定要执行某种操作的那部分机器码,构成OPCode的指令格式和规范由处理器的指令规范指定。除了指令本身以外通常还有指令所需要的操作数,可能有的指令不需要显示的操作数。这些操作数可能是寄存器中的值,堆栈中的值,某块内存的值或者IO端口中的值等等。 OPCode在不同的场合中通
Proteus8086报错unknow 2-byte opcode at
最新发布
05-20
这个错误通常发生在使用Proteus仿真器时,它意味着仿真器不能识别你的汇编代码中的某个二字节指令。这可能是由于您正在使用不受支持的指令或您的代码中存在语法错误导致的。 要解决这个问题,您可以尝试以下几个步骤: 1. 检查您的代码是否存在语法错误,并确保所有指令都是Proteus8086支持的指令。 2. 确保您正在使用最新版本的Proteus仿真器,因为旧版本可能不支持某些指令。 3. 如果您的代码中使用了不受支持的指令,尝试使用其他指令替换它们,或者考虑使用其他汇编器来编写您的代码。 4. 如果您无法解决此问题,请尝试在Proteus仿真器中使用其他CPU模型,例如8051或PIC,以查看是否存在相同的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值