BUUCTF-[GWCTF 2019]babyvm

内怀童心外表成熟

已于 2023-04-09 22:56:31 修改

阅读量870

点赞数 3

分类专栏： re简单题文章标签： vm re ctf

于 2023-04-09 22:34:39 首次发布

本文链接：https://blog.csdn.net/weixin_61154173/article/details/130047998

版权

re简单题专栏收录该内容

41 篇文章 2 订阅

订阅专栏

题目下载：下载

这种简单vm逆向搞了快半辈子了，看别人wp也看的迷迷糊糊的，今天突然就看明白了，可能是受一个python虚拟机题的影响，第一次见vm，简单记录一下~

参考：系统学习vm虚拟机逆向_43v3rY0unG的博客-CSDN博客

基本原理：

是指的意思是一种解释执行系统或者模拟器（Emulator）。逆向中的虚拟机保护是一种基于虚拟机的代码保护技术。它将基于x86汇编系统中的可执行代码转换为字节码指令系统的代码，来达到不被轻易逆向和篡改的目的。简单点说就是将程序的代码转换自定义的操作码(opcode)，然后在程序执行时再通过解释这些操作码，选择对应的函数执行，从而实现程序原有的功能。

vm_start：

虚拟机的入口函数，对虚拟机环境进行初始化

vm_dispatcher:

调度器，解释opcode，并选择对应的handle函数执行，当handle执行完后会跳回这里，形成一个循环。

opcode :

程序可执行代码转换成的操作码

在这种情况下，如果要逆向程序，就需要对整个emulator结构进行逆向，理解程序功能，还需要结合opcode进行分析，整个程序逆向工程将会十分繁琐。这是一个一般虚拟机结构：

大概了解vm逆向后，解一下这个题目，载入IDA

有三个函数，进入第一个sub_CD1函数

发现有一个unk_202060，跟进查看发现是一堆数据，根据对vm的简单了解，这些应该是操作码，继续看函数其他的部分，应该是操作码及其对应的操作指令。

进入sub_B5F，看0xF1的指令

是个赋值操作，所以对应mov操作。switch不同，赋值给的对象不同，所以可以看做是不同寄存器，所以0xE1->eax，0xE2->ebx，0xE3->ecx，0xE5->edx。其中还有个qword_2022A8，交叉引用一下，

所以这个应该就是flag。

进入sub_A64函数，看0xF2的指令
是个异或操作，看异或对象可知，xor eax，ebx

进入sub_AC5函数，看0xF5的指令

是获得flag长度，否则wrong

进入sub_956函数，看0xF4的指令
啥都没做，所以nop

进入sub_A08函数，看0xF7的指令
乘的操作，看操作对象是 mul eax，edx

进入sub_8F0函数，看0xF8的操作

是个交换操作，即swap eax，ebx

进入sub_99C函数，看0xF6操作

是一个线性运算，eax=ecx+2*ebx+3*eax

看主函数里的第二个函数sub_E0B函数

读取操作码，如果不是0xF4就进行操作，所以这个应该就是再进行操作码的翻译

看主函数里的第三个函数
这里就是再进行检查，看是否和aFzAmAmFmtSum[i]数组相同。

好了分析了个大概，现在主要操作就是翻译操作码，代码如下

opcode=[0xF5, 0xF1, 0xE1, 0x00, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4,
  0x20, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x01, 0x00, 0x00, 0x00,
  0xF2, 0xF1, 0xE4, 0x21, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x02,
  0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x22, 0x00, 0x00, 0x00,
  0xF1, 0xE1, 0x03, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x23,
  0x00, 0x00, 0x00, 0xF1, 0xE1, 0x04, 0x00, 0x00, 0x00, 0xF2,
  0xF1, 0xE4, 0x24, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x05, 0x00,
  0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x25, 0x00, 0x00, 0x00, 0xF1, 
  0xE1, 0x06, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x26, 0x00, 
  0x00, 0x00, 0xF1, 0xE1, 0x07, 0x00, 0x00, 0x00, 0xF2, 0xF1, 
  0xE4, 0x27, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x08, 0x00, 0x00, 
  0x00, 0xF2, 0xF1, 0xE4, 0x28, 0x00, 0x00, 0x00, 0xF1, 0xE1, 
  0x09, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x29, 0x00, 0x00, 
  0x00, 0xF1, 0xE1, 0x0A, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 
  0x2A, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0B, 0x00, 0x00, 0x00, 
  0xF2, 0xF1, 0xE4, 0x2B, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0C, 
  0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2C, 0x00, 0x00, 0x00, 
  0xF1, 0xE1, 0x0D, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2D, 
  0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0E, 0x00, 0x00, 0x00, 0xF2, 
  0xF1, 0xE4, 0x2E, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0F, 0x00, 
  0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x2F, 0x00, 0x00, 0x00, 0xF1, 
  0xE1, 0x10, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x30, 0x00, 
  0x00, 0x00, 0xF1, 0xE1, 0x11, 0x00, 0x00, 0x00, 0xF2, 0xF1, 
  0xE4, 0x31, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x12, 0x00, 0x00, 
  0x00, 0xF2, 0xF1, 0xE4, 0x32, 0x00, 0x00, 0x00, 0xF1, 0xE1, 
  0x13, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x33, 0x00, 0x00, 
  0x00, 0xF4, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0xF5, 0xF1, 
  0xE1, 0x00, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x01, 0x00, 0x00, 
  0x00, 0xF2, 0xF1, 0xE4, 0x00, 0x00, 0x00, 0x00, 0xF1, 0xE1, 
  0x01, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x02, 0x00, 0x00, 0x00, 
  0xF2, 0xF1, 0xE4, 0x01, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x02, 
  0x00, 0x00, 0x00, 0xF1, 0xE2, 0x03, 0x00, 0x00, 0x00, 0xF2, 
  0xF1, 0xE4, 0x02, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x03, 0x00, 
  0x00, 0x00, 0xF1, 0xE2, 0x04, 0x00, 0x00, 0x00, 0xF2, 0xF1, 
  0xE4, 0x03, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x04, 0x00, 0x00, 
  0x00, 0xF1, 0xE2, 0x05, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 
  0x04, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x05, 0x00, 0x00, 0x00, 
  0xF1, 0xE2, 0x06, 0x00, 0x00, 0x00, 0xF2, 0xF1, 0xE4, 0x05, 
  0x00, 0x00, 0x00, 0xF1, 0xE1, 0x06, 0x00, 0x00, 0x00, 0xF1, 
  0xE2, 0x07, 0x00, 0x00, 0x00, 0xF1, 0xE3, 0x08, 0x00, 0x00, 
  0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, 0xF6, 0xF7, 0xF1, 
  0xE4, 0x06, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x07, 0x00, 0x00, 
  0x00, 0xF1, 0xE2, 0x08, 0x00, 0x00, 0x00, 0xF1, 0xE3, 0x09, 
  0x00, 0x00, 0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 0x00, 0xF6, 
  0xF7, 0xF1, 0xE4, 0x07, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x08, 
  0x00, 0x00, 0x00, 0xF1, 0xE2, 0x09, 0x00, 0x00, 0x00, 0xF1, 
  0xE3, 0x0A, 0x00, 0x00, 0x00, 0xF1, 0xE5, 0x0C, 0x00, 0x00, 
  0x00, 0xF6, 0xF7, 0xF1, 0xE4, 0x08, 0x00, 0x00, 0x00, 0xF1, 
  0xE1, 0x0D, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x13, 0x00, 0x00, 
  0x00, 0xF8, 0xF1, 0xE4, 0x0D, 0x00, 0x00, 0x00, 0xF1, 0xE7, 
  0x13, 0x00, 0x00, 0x00, 0xF1, 0xE1, 0x0E, 0x00, 0x00, 0x00, 
  0xF1, 0xE2, 0x12, 0x00, 0x00, 0x00, 0xF8, 0xF1, 0xE4, 0x0E, 
  0x00, 0x00, 0x00, 0xF1, 0xE7, 0x12, 0x00, 0x00, 0x00, 0xF1, 
  0xE1, 0x0F, 0x00, 0x00, 0x00, 0xF1, 0xE2, 0x11, 0x00, 0x00, 
  0x00, 0xF8, 0xF1, 0xE4, 0x0F, 0x00, 0x00, 0x00, 0xF1, 0xE7, 
  0x11, 0x00, 0x00, 0x00, 0xF4]
#print(opcode[0])
reg={0xE1:'eax',0xE2:'ebx',0xE3:'ecx',0XE5:'edx'}
opcode1={0xF1:'mov',0xF2:'xor',0xF5:'len(flag)',0xF4:'nop',0xF7:'mul',0xF8:'swap'}

i=0
for j in range(len(opcode)):
    if opcode[i]==0xF1:         #如果是0xf1，就是mov操作，一定会有下面的操作
        print('mov',end=' ')
        if opcode[i+1]==0xE1:
            print('eax '+'flag['+str(opcode[i+2])+']')
        elif opcode[i+1]==0xE2:
            print('ebx '+'flag['+str(opcode[i+2])+']')
        elif opcode[i+1]==0xE3:
            print('ecx '+'flag['+str(opcode[i+2])+']')
        elif opcode[i+1]==0xE4:
            print('flag['+str(opcode[i+2])+'] '+'eax')
        elif opcode[i+1]==0xE5:
            print('edx '+'flag['+str(opcode[i+2])+']')
        elif opcode[i + 1] == 0xE7:
            print('flag[' + str(opcode[i + 2]) + '] ' + 'ebx')
        i=i+6                  #加6是因为1+1+4，操作码+寄存器+dword类型数据(flag下标)
    elif opcode[i]==0xF2:
        print('xor eax, ebx')
        i=i+1
    elif opcode[i]==0xF2:
        print('xor eax, ebx')
        i=i+1
    elif opcode[i]==0xF5:
        print('len(flag)')
        i = i + 1
    elif opcode[i]==0xF4:
        print('nop')
        i = i + 1
    elif opcode[i]==0xF7:
        print('mul eax, edx')
        i = i + 1
    elif opcode[i]==0xF8:
        print('swap eax, ebx')
        i = i + 1
    elif opcode[i]==0xF6:
        print('eax = ecx + 2 * ebx + 3 * eax')
        i = i + 1
    else:
        i=i+1

得到

len(flag)                         
mov eax flag[0]
xor eax, ebx
mov flag[32] eax               
mov eax flag[1]
xor eax, ebx
mov flag[33] eax
mov eax flag[2]
xor eax, ebx
mov flag[34] eax
mov eax flag[3]
xor eax, ebx
mov flag[35] eax
mov eax flag[4]
xor eax, ebx
mov flag[36] eax
mov eax flag[5]
xor eax, ebx
mov flag[37] eax
mov eax flag[6]
xor eax, ebx
mov flag[38] eax
mov eax flag[7]
xor eax, ebx
mov flag[39] eax
mov eax flag[8]
xor eax, ebx
mov flag[40] eax
mov eax flag[9]
xor eax, ebx
mov flag[41] eax
mov eax flag[10]
xor eax, ebx
mov flag[42] eax
mov eax flag[11]
xor eax, ebx
mov flag[43] eax
mov eax flag[12]
xor eax, ebx
mov flag[44] eax
mov eax flag[13]
xor eax, ebx
mov flag[45] eax
mov eax flag[14]
xor eax, ebx
mov flag[46] eax
mov eax flag[15]
xor eax, ebx
mov flag[47] eax
mov eax flag[16]
xor eax, ebx
mov flag[48] eax
mov eax flag[17]
xor eax, ebx
mov flag[49] eax
mov eax flag[18]
xor eax, ebx
mov flag[50] eax
mov eax flag[19]
xor eax, ebx
mov flag[51] eax
nop

len(flag)
mov eax flag[0]
mov ebx flag[1]
xor eax, ebx
mov flag[0] eax
mov eax flag[1]
mov ebx flag[2]
xor eax, ebx
mov flag[1] eax
mov eax flag[2]
mov ebx flag[3]
xor eax, ebx
mov flag[2] eax
mov eax flag[3]
mov ebx flag[4]
xor eax, ebx
mov flag[3] eax
mov eax flag[4]
mov ebx flag[5]
xor eax, ebx
mov flag[4] eax
mov eax flag[5]
mov ebx flag[6]
xor eax, ebx
mov flag[5] eax
mov eax flag[6]
mov ebx flag[7]
mov ecx flag[8]
mov edx flag[12]
eax = ecx + 2 * ebx + 3 * eax
mul eax, edx
mov flag[6] eax
mov eax flag[7]
mov ebx flag[8]
mov ecx flag[9]
mov edx flag[12]
eax = ecx + 2 * ebx + 3 * eax
mul eax, edx
mov flag[7] eax
mov eax flag[8]
mov ebx flag[9]
mov ecx flag[10]
mov edx flag[12]
eax = ecx + 2 * ebx + 3 * eax
mul eax, edx
mov flag[8] eax
mov eax flag[13]
mov ebx flag[19]
swap eax, ebx
mov flag[13] eax
mov flag[19] ebx
mov eax flag[14]
mov ebx flag[18]
swap eax, ebx
mov flag[14] eax
mov flag[18] ebx
mov eax flag[15]
mov ebx flag[17]
swap eax, ebx
mov flag[15] eax
mov flag[17] ebx
nop

因为通过上面分析，我们知道如果是0xF4那就不进行操作，所以可以以nop为分界，把上面得到的分为两部分(后面就知道要使用第二部分)

我们先使用第一部分，第一部分就是异或操作，注意这里ebx==0x12，如下图可知

所以代码如下
发现是个假的flag...

通过观察发现还有一个检查函数

所以这次我们使用byte_202020的数据，在进行第二部分操作，第二部分就是对前六个进行异或变化，然后再变化str[6],str[7],str[8],在交换部分数据，所以解密代码如下：

#str1='Fz{aM{aM|}fMt~suM !!'
#str=list(map(ord,str1))
str=[0x69, 0x45, 0x2A, 0x37, 0x09, 0x17, 0xC5, 0x0B, 0x5C, 0x72,
  0x33, 0x76, 0x33, 0x21, 0x74, 0x31, 0x5F, 0x33, 0x73, 0x72]
flag=''
str[15],str[17]=str[17],str[15]
str[14],str[18]=str[18],str[14]
str[13],str[19]=str[19],str[13]

for i in range(32,128):
    if str[8]==((str[10]+2*str[9]+3*i)*str[12])&0xFF:
        str[8]=i
for i in range(32,128):
    if str[7]==((str[9]+2*str[8]+3*i)*str[12])&0xFF:
        str[7]=i
for i in range(32, 128):
    if str[6]==((str[8]+2*str[7]+3*i)*str[12])&0xFF:
        str[6]=i

for j in range(5,-1,-1):
    str[j]=str[j]^str[j+1]
for i in range(len(str)):
    flag+=chr(str[i])
print(flag)

这次成功得到flag：Y0u_hav3_r3v3rs3_1t!

内怀童心外表成熟

关注

3
点赞
踩
4

收藏

觉得还不错? 一键收藏
2
评论
BUUCTF-[GWCTF 2019]babyvm

vm简单逆向，switch不同，赋值给的对象不同，所以可以看做是不同寄存器，所以0xE1->eax，0xE2->ebx，0xE3->ecx，0xE5->edx。这种简单vm逆向搞了快半辈子了，看别人wp也看的迷迷糊糊的，可能是受一个python虚拟机题的影响，第一次见vm，简单记录一下~发现是一堆数据，根据对vm的简单了解，这些应该是操作码，继续看函数其他的部分，应该是操作码及其对应的操作指令。是个异或操作，看异或对象可知，xor eax，ebx。乘的操作，看操作对象是 mul eax，edx。
复制链接

扫一扫