[虚拟机保护逆向] [HGAME 2023 week4]vm

已于 2024-03-08 15:37:05 修改
阅读量1.7k 收藏 19
点赞数 42
分类专栏: reverse 文章标签: 笔记
于 2024-03-08 15:36:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/136562317
版权

虚拟机逆向的注意点:

        根基题目来看,这是一道虚拟机保护逆向的题,这里的虚拟机不是传统意义上像VMware 的虚拟机,这里只是一个程序执行了像cpu取指令、执行指令操作,与汇编指令类似,但是这里的指令硬件编码经过了作者的修改(opcode), 再结合其本身的编译器,和一些cpu的环境,来实现类似于cpu执行指令的操作,给逆向增加难度。

        虚拟机的逆向题,一般分三个步骤:首先根据逻辑推测出各种寄存器(通用寄存器 和 ip),ip是指向当前硬件编码的指针,有他取出指令,然后根据具体取出的指令和其对应的函数(指令)功能,来逆向出代表指令的硬件编码,最后根据函数功能编写脚本结合题目中的硬件编码数组(opcode)来逆向出虚拟机实际执行的指令,根据指令实现的功能就可以对应逆向出flag。

1)、程序查可没有,直接使用ida打开,打开后如下:        根基函数逻辑重命名后:

        根据主函数可知,输入的flag是40位,输入完成后由vm_cpu函数进行操作,进入vm_cpu函数查看逻辑: 

将a1类型改为声明int *方便查看。vm_cpu函数做了一个while循环,但直接看上去似乎着while循环执行的是重复错做,没有对a1[6]累加。

从汇编层面可以看出着确实是一个循环,退出条件是从opcode中取出的硬件编码是0xff,猜想一改是在sub_140001940函数中对[rax+18h]这个内存出进行了加法操作,实现后移。所以可以大胆猜想[rax+18h](a1[6])就是我们找的"ip寄存器"。引入下列题目提示的结构体(这里描述的就是虚拟机的结构体):

进入while循环里的函数,发现这里就是执行指令的函数位置:

将a1声明位vm类型后分析这里函数的功能,分析后如下 :

2)、具体每个函数的功能,和其对应的硬件编码的长度 和 含义,都分析出来后就可以编写脚本将题目的opcode转化位vm实际执行的指令 :

mov函数:

 push函数:

pop函数: 

operation函数: 

cmp函数:jz函数: jnz函数:

 分析完成函数功能后就可以编写脚本输出虚拟机实际执行的指令了:

opcode = [0x00, 0x03, 0x02, 0x00, 0x03, 0x00, 0x02, 0x03, 0x00, 0x00,
          0x00, 0x00, 0x00, 0x02, 0x01, 0x00, 0x00, 0x03, 0x02, 0x32,
          0x03, 0x00, 0x02, 0x03, 0x00, 0x00, 0x00, 0x00, 0x03, 0x00,
          0x01, 0x00, 0x00, 0x03, 0x02, 0x64, 0x03, 0x00, 0x02, 0x03,
          0x00, 0x00, 0x00, 0x00, 0x03, 0x03, 0x01, 0x00, 0x00, 0x03,
          0x00, 0x08, 0x00, 0x02, 0x02, 0x01, 0x03, 0x04, 0x01, 0x00,
          0x03, 0x05, 0x02, 0x00, 0x03, 0x00, 0x01, 0x02, 0x00, 0x02,
          0x00, 0x01, 0x01, 0x00, 0x00, 0x03, 0x00, 0x01, 0x03, 0x00,
          0x03, 0x00, 0x00, 0x02, 0x00, 0x03, 0x00, 0x03, 0x01, 0x28,
          0x04, 0x06, 0x5F, 0x05, 0x00, 0x00, 0x03, 0x03, 0x00, 0x02,
          0x01, 0x00, 0x03, 0x02, 0x96, 0x03, 0x00, 0x02, 0x03, 0x00,
          0x00, 0x00, 0x00, 0x04, 0x07, 0x88, 0x00, 0x03, 0x00, 0x01,
          0x03, 0x00, 0x03, 0x00, 0x00, 0x02, 0x00, 0x03, 0x00, 0x03,
          0x01, 0x28, 0x04, 0x07, 0x63, 0xFF, 0xFF]
i=0
#还原成x86指令
for j in range(10000000):

    #直到FF为止结束,循环出口位置
    if opcode[i]==0xff:
        break

    # 开始匹配每次取出的指令
    match opcode[i]:
        case 0x00:  #mov指令

            print("(%d)"%(i),end="")#输出当前指令的位置,可以当成jz,jmp,jnz的跳转标记

            tmp=opcode[i+1] #取出第一个操作数
            if tmp==0:
                print("mov reg[0],flag[reg[2]]")
            elif tmp==1:
                print("mov flag[reg[2]],reg[0]")

            elif tmp==2:
                print("mov reg[%d],reg[%d]"%(opcode[i+2],opcode[i+3]))
            elif tmp==3:
                print("mov reg[%d],%d"%(opcode[i+2],opcode[i+3]))
            i+=4    #指令长度为4

        case 0x01:  #push指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            tmp=opcode[i+1] #push的读取下一个指令
            if tmp==0:
                print("push reg[0]")
            elif tmp==1:
                print("push reg[0]")
            elif tmp==2:
                print("push reg[2]")
            elif tmp==3:
                print("push reg[3]")
            i+=2    #指令长度
        
        case 0x02:  #pop指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            tmp=opcode[i+1]
            if tmp==0:
                print("pop reg[0]")
            elif tmp==1:
                print("pop reg[1]")
            elif tmp==2:
                print("pop reg[2]")
            elif tmp==3:
                print("pop reg[3]")
            i+=2    #指令长度

        case 0x03:  #运算指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            tmp=opcode[i+1]     #取出第一个操作数,判断运算方式
            if tmp==0:
                print("add reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==1:
                print("sub reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==2:
                print("mul reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==3:
                print("xor reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==4:
                print("shl reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==5:
                print("shr reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            i+=4    #指令长度为4

        case 0x04:  #cmp指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("cmp reg[0],reg[1]")
            i+=1
        case 0x05:  #jmp指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("jmp %d"%(opcode[i + 1]))
            i+=2
        case 0x06:  #jz指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("jz %d"%(opcode[i + 1]))
            i+=2    #jz指令长度为
        case 0x07:
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("jnz %d"%(opcode[i + 1]))
            i+=2

执行的指令如下:

利用所学的汇编只是分析汇编指令实现的功能: 输入的flag与内存中flag数组后面偏移50的数据进行加法,后于偏移位100处的数据异或,然后执行位移操作(实际上是高8位与低8位互换)

提取flag后面偏移的数组后,根据逻辑编写处解密脚本如下:

a = [155, 168, 2, 188, 172, 156, 206, 250, 2, 185, 255, 58, 116, 72, 25, 105, 232, 3, 203, 201,
      255, 252, 128, 214, 141, 215, 114, 0, 167, 29, 61, 153, 136, 153, 191, 232, 150, 46, 93, 87]
  
b=[201, 169, 189, 139,  23, 194, 110, 248, 245, 110, 99,  99, 213, 70,  93, 22, 152,  56, 48, 115, 
   56, 193,  94, 237, 176, 41,  90,  24, 64, 167, 253,  10,  30, 120, 139, 98, 219,  15, 143, 156,]

c = [18432, 61696, 16384, 8448, 13569, 25600, 30721, 63744, 6145, 20992, 9472, 23809, 18176, 64768, 26881, 23552,
      44801, 45568, 60417,
      20993, 20225, 6657, 20480, 34049, 52480, 8960, 63488, 3072, 52992, 15617, 17665, 33280, 53761, 10497, 54529, 1537,
      41473, 56832, 42497, 51713]
c=c[::-1]
flag=[0]*40
for i in range(len(a)):
    flag[i]=((c[i]>>8)&0xff + (c[i]<<8))
    flag[i]^=b[i]
    flag[i]-=a[i]
for i in flag:
    print(chr(i&0xff),end="")
#hgame{y0ur_rever5e_sk1ll_i5_very_g0od!!}

总结:虚拟机在逆向题中属于分析过程比较繁琐,难度较大的类型,但是结合具体的方法分析处虚拟机执行的指令后也能轻松解决。

下一期会继续逆向这个题目,逆向出本题的源代码(毕竟这才是逆向的终极步骤),加深对cpu(虚拟机)对指令的错做 

波克比QWQ
关注
  • 42
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来, 后面那个hagem的题目中间有一个栈的结构,也是比较有感觉的虚拟机题目了 另外hgame已经结束:https://hgame.vidar.club/#/user/login?return=Challenge-List cg-ctf: https://cgctf.nuptsast.com/challenges#Re 题目文件:
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
CTF-Reverse---VM虚拟机逆向&[HGAME 2023 week4]vm题目复现【详解】
Sciurdae的博客
11-02 930
没有前言。终于搞定第二题了。费劲是真的费。题目在nssctf上有。
hgame-2023-week4
weixin_73290593的博客
02-08 426
hgame完结
HGame 2023 Week4 部分Writeup
vvbbnn00的专栏
02-06 3159
第四周的比赛难度较高,同时也出现了不少颇为有趣的题目。可惜笔者比较菜,做出来的题目数量并不是很多,不过里面确实有几道题值得好好讲讲。不多废话了,抓紧端上来吧(喜)。 注:本周CRYPTO类的赛题ECRSA在数学大佬的帮助下解出;本周REVERSE类赛题vm由大佬Latihas提供思路指导,在这里表达感谢!
[HGAME 2022 week4]ezvm 复现
m0_75098930的博客
04-04 465
本题主要采用的是动调的方式,看别人的wp写判断输入是32位字符串,我一直没找到在哪,最后实在没办法了,带入了答案flag,断点下在switch上,因为找不到指令,f9很长一段时间后,我发现,终于,指令的调用有了变化,最开始一直在getchar循环,到这时才调用了xor和*=2(看别人wp说是左移一位,都一样),也就是说,这时才进行加密,也直到这时,我才看到了指令集的偏移,到这里了,就没管指令了,反正是exe,干脆直接调下去。64维exe,无壳,看名字知道这是vm的题,放入ida,进入main函数。
hgame2023 week4 writeup
02-13 1292
hgame2023 week4 writeup
hgame2023 week3 writeup
02-03 1511
hgame2023 week3
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
随心笔记,第六更
leen的博客
06-13 566
今天给大家分享的是使用idea 将xml转为JavaBean,并且取其中的数据和其他的数据进行交互。
libspice源文件笔记
cai742925624的专栏
06-18 130
libspice源文件笔记
通信原理第八章复习笔记
香草味冰淇淋
06-17 537
由于16QAM信号的16个信号点在水平轴和垂直轴上投影的电平数均有4个(+3、+1、-1、-3),对应低通滤波器输出的4电平基带信号,因而4电平判决器应有3个判决电平:+2、0、-2。大圆上的四个红点表示第一个QPSK信号适量的位置,在这4个位置上可以叠加第二个QPSK矢量,后者的位置用虚线小圆上的4个小黑点表示;每个码元周期内含有1/4载波周期的整数倍,且两种码元包含的正弦波数相差1/2个周期,功率谱衰减快。在多径衰落信道中,信号振幅和相位取值越多,收到的影响越大,因而星型比方型更具有吸引力;
算法刷题笔记 区间和(离散化二分查找难题,带超详细注释的C++实现)详细解析
hanmo22357的博客
06-14 748
一道较难的离散化二分查找例题,以及带有超级详细注释和解析的C++代码实现。
【Java学习笔记】异常处理
最新发布
diguangxihua的博客
06-20 651
除了Java中提供的一些异常类,还可以根据自己的需求定义异常类。//声明UserOwnException无参数构造方法//声明UserOwnException带有String类型参数的构造方法super();//调用父类的构造方法try {execute();//调用execute()方法try {//抛出异常//捕获Exception类//捕获后,直接抛出用户自定义异常类throw new UserOwnException("自定义异常抛出"+e.getMessage())
GRIT论文阅读笔记
read, note and comment papers
06-18 195
一篇试图统一生成任务和编码任务的工作,就是把只能完成生成任务的GPT改成既能生成又能encode。 思路其实很简单,就是在输入的时候添加instruction tokens来指引模型做representation还是generation,然后各自算损失。representation任务用的是document和query的对比学习。把最后一层的token给mean pooling(只对word tokens做,不对instruction做)出一个embedding算对比损失,做generation的时候就
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值