转载关于两个壳VMP 和TMD

zimengmeng131

于 2019-05-11 13:51:48 发布

阅读量4.8k

点赞数 1

学了两课，膨胀的找了个两个软件，一个vmp壳一个Themida & WinLicense 2.0 - 2.4.6。老实了。以下为转载，目前看不懂完全。

总结vmp壳基础原理，大牛不要喷啊！

1.与传统的加壳工具不同，不是简单的把目标进行压缩、内存解压运行，而是修改目标源码，让目标的部分指令在vmp创建的虚拟环境下运行，虚拟环境中无操作数比较指令、条件跳转和无条件跳转指令；
2.被修改替换的目标指令最终形成的字节码有前后相关性，即你改变其他任意一个字节会影响到所有被vm虚拟化的指令
3.vmp的虚拟机其实是一个字节码解释器，循环的读取指令并执行，并且只有一个入口和一个出口
4.虚假跳转和垃圾指令, vmp会使用大量的虚拟跳转和垃圾指令将原有简单的代码变得复杂
5.vmp是基于堆栈的虚拟机，虚拟机指令不是显示的读取参数，而是把要使用的参数压入堆栈，而后直接从堆栈中读取
6.vmp指令
  1)算数运算和移位运算
  2)堆栈操作
  3)系统相关
  4)逻辑运算，这个最复杂，vmp中只有一个逻辑运算指令nor, 它可以模拟not and or xor 四个逻辑运算指令
6.vmp寄存器轮转
  mvp将所有的寄存器都放在一个堆栈的结构vm_context中, 结构中的每一项代码一个寄存器或临时变量
  在程序运行过程中, vm_context结构中保存的寄存器不是固定的，每当执行完一个操作或一个指令结构中的项与真实寄存器之间的映射关系会发生变化，就像一个齿轮随机的转动了一下, 转动过后原有的映射关系全部改变了
7.字节码加密和随机效验
  随机效验比较牛B, vmp会在编译好的字节码中加入自己的一些指令(专属于vmp自动的指令), 每一次执行都会对一段代码随机生成hash值, 然后与另一个随机数相加, vmp要求相加的结果必须为0, 否则会出错.

个人总结，不一定十分准确，请勿引用！

（一），

Themida和不用license的Winlicense脱壳就不说了，直接上脚本脱壳。

（二），

先看看不同版本OEP的一些小特征：

2.1.X.X版本之后的OEP特征（2.0.8.0,2.1.0.10,2.1.3.32等）

2.1版本之前的OEP特征，如（2.0.3.0，1.8.2.0，1.885等）：

Temida OEP特征:如（2.0.3.0，）

一，对于Winlicense2.1.0.10及其以下版本，不用license，可自己随意构造一个license直接bypass.然后脱壳。

bypass过程

1，先获得license名称，自己随便构造一个license，然后OD运行程序，弹出提示窗口后获得JMP的首地址：FirstJmpAddress。

2，下FirstJmpAddress硬件断点，重新运行程序，中断后，在第二个jmp，enter进入，然后搜索cmp ecx,eax，下断点，运行，中断在CmpEcxEaxAddress。

3，运行几次后，会得到eax,ecx不同的值，其中eax为正确的checkword,把eax值赋给ecx即可。共有两次不同，所以有两个checkword。

4，搜索kenrel.dll的首地址，本机为7c800000, ctrl+B,输入：00 00 80 7C。再搜索dll地址的第二个地址，可以获得SecondDllAddress。在改完第二个checkword后，把SecondDllAddress更改为首个dll地址，运行即可bypass.

二，2.1.X.X版本之后的OEP特征（2.0.8.0,2.1.0.10,2.1.3.32等）：

bypass过程：

1，需要一个可用license

第1,2步骤与以上相同.

第3个步骤中，只有一个checkword，但是这个checkword值也有两次校验，分别赋给ecx即可bypass.

三，还碰到过一种bypass，是需要不断监控eax和SecondDllAddress 值的，不知道属于哪个版本。可看教程WinLicense ByPass For SecondDllAddress.

以上三种版本bypass过程需要如何分辨，主要看cmp ecx,eax时候的值来辨别！

Winlicense脱壳过程：

把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可实现bypass加脱壳。

搜索/*zhw bypass */部分可看到插入的script.

上面的例子我放到资源中供大家下载，里面有加壳的例子以及对应的bypass脚本和脱壳脚本。

地址： http://download.csdn.net/detail/zhw309/4249943
---------------------
作者：zhw309
来源：CSDN
原文：https://blog.csdn.net/zhw309/article/details/7490331
版权声明：本文为博主原创文章，转载请附上博文链接！