php opcode逆向还原,[原创]VM代码的还原-插件篇

最新推荐文章于 2021-06-07 20:06:18 发布
最新推荐文章于 2021-06-07 20:06:18 发布
阅读量1.4k 收藏 2
点赞数
文章标签: php opcode逆向还原

首先,先给出几个工具.大概都是伪码类的.之前也介绍过.首先推荐的是zdhysd 师傅的VMP分析插件 1.4 之前介绍过了..

下载地址:http://bbs.pediy.com/thread-154621.htm

剩下的大家也都用过.一个是木木老师的OoWoodOne 堪比Ximo师傅的zeus 个人用的觉得比zeus更好用一点.而且带源码.

下载地址:http://bbs.pediy.com/thread-203683.htm

其他的一些ximo老师的zeus,noboy老师FkVMP 之类的大家都熟悉就不提了..伪码类的VMP分析插件 1.4 用起来很好.除了某些小问题.而且最主要可以自定义规则识别.这个是很强大的地方..如果,对代码很熟悉那么还原起来 还是比较快的.只不过是手动还原罢了.容易出错.这些主要都是逻辑还原.本人觉得从技术上来讲纯asm还原并不现实.因为,我们所谓的轮转机制只不过是一个用寄存器体系 去理解的VM.跟实际寄存器并没有什么关系. 对于VM分析来讲  你用的是哪个寄存器 对我们对VM进行分析 并无影响.可以用伪码进行代表 还原逻辑.然后 再反推寄存器.这是一个很大的工程..根据我已知的消息.其实 已经有很多还原引擎 只不过 我们这些菜鸟未曾一见. 比如大部分cug ccg的前辈....好啦 吹逼就到这里.VM机制不是这个帖子要讲的.如果要讲 也不是我这个菜鸟能讲的..我只聊聊插件怎么用...233333很早之前用过VMSweeper1.4  觉得不太好用 之后就没有关注过.然后,这几天有个项目要还原VM.开始的时候 用ZEUS 分析好vmhandler 然后到VMVMP 也就是 disp什么的那个地方 分配跳转的..英文不好.专业名词不会.大概理解吧...手动记事本写了三页..瞬间觉得不是人做的工作..心好痛.又不会编程.得了吧..找找现成插件吧..开始的时候用的VM 分析插件handler 分析没错 但是算法分析有问题.调试起来问题很多..蛋疼的一腿..然后 就拿起了.VMSweeper 但是,还是不行.局限性太大...可是 默默的发现了 这玩意 还原VM还原起来 很是舒服啊. 除了很多插件上的BUG 但是 堆栈反推没有出错.于是有了这篇文章.事先说明.这些插件使用的局限性很大.毕竟一个系统的还原插件不是一时可以写出来的.就算写出来 大部分师傅 也只是 扔着烂硬盘....对 别看别人 就是你brack老师....这篇文章 我只是简单讲解一下.实际应用之中会遇到很多问题.大部分时候不适合实际应用....开课:先上未被VM时候的原始代码004010A1  /.  55            push ebp

004010A2  |.  8BEC          mov ebp,esp

004010A4  |.  81EC 0C000000 sub esp,0xC

004010AA  |.  C745 FC 00000>mov [local.1],0x0

004010B1  |.  C745 F8 00000>mov [local.2],0x0

004010B8  |.  EB 10         jmp short 测试.004010CA

004010BA  |.  56 4D 50 72 6>ascii "VMProtect begin",0

004010CA  |>  B8 A8E64700   mov eax,测试.0047E6A8                      ;  ASCII "23333"

004010CF  |.  50            push eax

004010D0  |.  8B5D FC       mov ebx,[local.1]

004010D3  |.  85DB          test ebx,ebx

004010D5  |.  74 09         je short 测试.004010E0

004010D7  |.  53            push ebx

004010D8  |.  E8 00010000   call 测试.004011DD                         ;  jmp 到 

004010DD  |.  83C4 04       add esp,0x4

004010E0  |>  58            pop eax

004010E1  |.  8945 FC       mov [local.1],eax

004010E4  |.  B8 AEE64700   mov eax,测试.0047E6AE                      ;  你猜

004010E9  |.  50            push eax

004010EA  |.  8B5D F8       mov ebx,[local.2]

004010ED  |.  85DB          test ebx,ebx

004010EF  |.  74 09         je short 测试.004010FA

004010F1  |.  53            push ebx

004010F2  |.  E8 E6000000   call 测试.004011DD                         ;  jmp 到 

004010F7  |.  83C4 04       add esp,0x4

004010FA  |>  58            pop eax

004010FB  |.  8945 F8       mov [local.2],eax

004010FE  |.  8B45 F8       mov eax,[local.2]

00401101  |.  50            push eax

00401102  |.  FF75 FC       push [local.1]

00401105  |.  E8 FAFEFFFF   call 

0040110A  |.  83C4 08       add esp,0x8

0040110D  |.  83F8 00       cmp eax,0x0

最低0.47元/天 解锁文章
秦少爷的琪琪
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php反编译opcode,从HGAME的pyc逆向来看手撸opcode
weixin_39521651的博客
04-07 867
一次pyc文件恢复Python Pyc的文件格式[compile.h]/* Bytecode object */typedef struct {PyObject_HEADint co_argcount; /* #arguments, except *args */int co_nlocals; /* #local variables */int co_stacksize; ...
PHP 5.3 OPCODE工具(用于zend 加密php 5.3分析,逆向)
08-07
php opcode的反解,用于分析PHP ,逆向PHP 加密,由OPCODE转换PHP代码. WINDOWS 版本的使用: 开始,运行,CMD 进入PHP所在目录,执行: Php.exe –c php.ini 111.php 回车,即可查看:111.phpOPCODE值. 用这个工具,可以用来分析:Zend 加密的 PHP5.3程序.
php 执行opcode,PHP编译原理之Opcode ( Operation Code ) PHP代码执行过程
weixin_36411280的博客
03-10 519
Opcode是什么?我们都知道,计算机是不能直接理解高级语言的,“高级语言”是给程序员看的,最终高级语言都会被编译或者解释成能被机器理解的语言,也就是机器语言,才能被计算机执行。Opcode就是php脚本编译后的中间语言,就像JAVA中的ByteCode字节码类文件。举个例子:比如,我们写下了这段代码PHP语言引擎Zend执行这段代码会经过四个步骤:Scanning(Lexing) :将PHP代...
php内核代码,PHP内核探索:中间代码opcode的执行
weixin_35669712的博客
03-10 228
假如我们现在使用的是CLI模式,直接在SAPI/cli/php_cli.c文件中找到main函数, 默认情况下PHP的CLI模式的行为模式为PHP_MODE_STANDARD。 此行为模式中PHP内核会调用php_execute_script(&file_handle TSRMLS_CC);来执行PHP文件。 顺着这条执行的线路,可以看到一个PHP文件在经过词法分析,语法分析,编译后生成中...
php 执行opcode,php-5.6.26源代码 - PHP文件编译成opcode、执行
weixin_42363315的博客
03-10 148
文件 php-5.6.26/Zend/zend.cZEND_API int zend_execute_scripts(int type TSRMLS_DC, zval **retval, int file_count, ...) /* {{{ */{va_list files;int i;zend_file_handle *file_handle;zend_op_array *orig_op_ar...
PHP性能优化
你知道的越多,你不知道的越多
11-07 3135
PHP性能优化首先分为三个方向 PHP语言级别的性能优化->PHP周边问题的性能优化->PHP自身优化 一.PHP语言级别的性能优化 1.多使用PHP 的内置函数 2.少使用错误抑制符@ 会产生额外的opcode开销 (opcode:当解释器完成对脚本代码的分析后,便将它们生成可以直接运行的中间代码,也称为操作码(Operate Codeopcode) ) 错误抑制符的原理 是在@抑...
php代码-CCMS-PHP
07-16
PHP代码-CCMS-PHP】是一个基于PHP编程语言的项目,主要关注的是内容管理系统(Content Management System,简称CMS)的实现。在这个项目中,`main.php`是核心的入口文件,而`README.txt`则提供了项目的说明和指导...
PHP7如何开启Opcode打造强悍性能详解
10-18
描述中提到,Opcache是PHP官方公司Zend开发的优化加速组件,能够将PHP代码预编译成Opcode并缓存,从而在后续请求中避免重复编译,提高性能。 Opcache(前身是Optimizer+)的核心功能是将PHP代码转换为中间语言——...
PHPopcode缓存简单用法分析
10-18
主要介绍了PHPopcode缓存简单用法,结合实例形式分析了opcode的概念、原理、简单开启与使用方法,需要的朋友可以参考下
深入理解PHPOpCode原理详解
10-22
在深入理解PHPOpCode原理详解中,我们探讨了PHP代码如何从源代码形式转化为机器可执行的指令。OpCodePHP脚本编译后的一种中间语言,类似于Java的ByteCode或.NET的MSIL,它在PHP的执行过程中起到至关重要的作用。...
利用PHP扩展vld查看PHP opcode操作步骤
12-19
首先下载最新版vld扩展: 复制代码 代码如下: ~/public_html/php-5.3.13/ext> wget http://pecl.php.net/get/vld-0.11.2.tgz ~/public_html/php-5.3.13/ext> tar zxvf vld-0.11.2.tgz ~/public_html/php-5.3.13/ext> cd vld-0.11.2/ 接下来编译安装vld扩展: 复制代码 代码如下: ~/public_html/php-5.3.13/ext/vld-0.11.2> phpize ~/public_html/php-5.3.13/ext
php常用的解密方式,php免费解密
php解密
08-13 4780
最近总是有网友问我php文件怎么解密,php解密是什么原理,针对这个问题我总结了目前比较流行的php加密文件的解密方式。   1.opcode逆向还原:本方法为php解密终结解决方案,只要劫持了opcode就基本完成了php的解密,前提是你能将得到的opcode逆向还原php,本方法可以还原大部分的组件加密,如zend加密的php5.2,zend加密的php5.3,zend加密的php5.4...
PHP的zend引擎运行流程(opcode)了解下
luyaran的博客
06-25 770
    相信大家对PHP的核心架构图也是有所了解的,本人也就不做过多赘述了。这次咱们就来简单了解下这个核心中的核心---zend引擎。    百度上对它的定义是这样的:一个开源的脚本引擎(一个虚拟机)。它的优势也是明显的,首先它把边解释边运行的方式变为先进行预编译(compile),再执行(execute)的方式极大提高了php的运行效率和执行效率,其次由于实行功能分离,它还降低了模块间的耦合度,...
Zend Guard混淆技术,可防止逆向工程-SEO狼术
q2315702359的博客
06-07 491
  Zend Guard 提供通信和混淆技术,可防止逆向工程、侵犯版权和未经授权更改您的代码。   使用 Zend Guard,您可以对自己的 PHP 代码进行编码、混淆和保护,以阻止未经许可的使用和逆向工程。   你努力想出你的代码。如今,你必须保护它。Zend Guard 强大的通信和混淆技术可避免逆向工程、侵犯版权和未经授权更改您的代码。   编码是将 PHP代码转换为中间系统可读格式的过程,就像 PHP 加密一样。这种安排让人们难以阅读并转换为源代码。因此,它可以保护您的代码免受随意浏览。
php opcodes 还原代码,【资料】用Oreans UnVirtualizer还原VM代码
weixin_31674039的博客
03-11 222
本帖最后由 [VIP]_年华╮似 于 2016-6-12 16:56 编辑VM一直很头痛,在逆向实践一般尽量想办法避开它,当黑盒来处理。有时候不面对她又不行,正好在论坛上看了Oreans UnVirtualizer插件,拿来实践学习下。新手可以了解下恢复VM代码的过程,高手可以帮助纠正错误并指导深入相关工具可在网上找到:Oreans UnVirtualizer VM恢复插件Code Virtu...
Lua游戏逆向及破解方法介绍
热门推荐
zhangmiaoping23的专栏
01-26 1万+
转:http://gad.qq.com/article/detail/21645 背景介绍   随着手游的发展,越来越多的Cocos-lua端游开发者转移到手游平台。Lua脚本编写逻辑的手游也是越来越多,如梦幻西游、刀塔传奇、开心消消乐、游龙英雄、奇迹暖暖、疾风猎人、万万没想到等手游。随着Lua手游的增加,其安全性更值得关注,在此归纳一些常用的分析方法,同时介绍一些辅助工具。  
LINUX下PHP安装VLD扩展,利用opcode优化php代码
天下熙熙,皆为利来;天下攘攘,皆为利往。
07-22 786
1)查看opcode代码: 下载与安装VLD# wget http://pecl.php.net/get/vld-0.11.2.tgz # tar zxvf vld-0.11.2.tgz # cd ./vld-0.11.2 # /usr/bin/phpize //或者直接phpize # ./configure --with-php-config=/usr/bin/ph
php opcodes 还原代码,理解php原理的opcodes(操作码)_PHP教程
weixin_34650199的博客
03-11 123
PHP执行这段代码会经过如下4个步骤(确切的来说,应该是PHP的语言引擎Zend)复制代码 代码如下:1.Scanning(Lexing) (扫描),将PHP代码转换为语言片段(Tokens)2.Parsing(语法分析), 将Tokens转换成简单而有意义的表达式3.Compilation(编译), 将表达式编译成Opocdes4.Execution(执行编译后的结果), 顺次执行Opcodes...
Proteus8086报错unknow 2-byte opcode at
最新发布
05-20
这个错误通常发生在使用Proteus仿真器时,它意味着仿真器不能识别你的汇编代码中的某个二字节指令。这可能是由于您正在使用不受支持的指令或您的代码中存在语法错误导致的。 要解决这个问题,您可以尝试以下几个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值