VMProtect虚拟机保护及还原

最新推荐文章于 2023-04-23 11:31:28 发布
最新推荐文章于 2023-04-23 11:31:28 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 加壳与脱壳 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zk_1874/article/details/129907488
版权

虚拟机保护技术

原理:虚拟机保护代码技术是将X86汇编指令转为字节码指令,并且通过字节设计的解释器去执行字节码指令的一项技术,以达到保护原有指令不被轻易逆向和篡改。

VStartVM:虚拟机的入口,主要作用是进入虚拟机,将真实CPU的寄存器信息保存到堆栈,以便于执行虚拟机指令时,访问寄存器信息。

VMDispacther:虚拟机指令调度器,主要作用是获取虚拟机指令(字节码),判断之后执行对应指令。

Handler:虚拟机指令的执行函数。

VMware虚拟机保护的特征:

PUSH XXXX

CALL XXXX

Themida保护的特征:

PUSH XXXX

JMP XXXX

使用VMProtect保护代码(HelloASM)

1、打开VMProtect

2、右键,新建流程:

3、操作三行指令,选择流程末尾:

4、直接加壳:

5、使用OD打开,对比加壳之前的代码

加壳前:

加壳后:

使用IDA查看加壳后的程序

还原:

程序入口:

开始的寄存器和堆栈:

单步进入CALL,右键:

单步跟踪,进入虚拟机,进行分析:

退出虚拟机时,堆栈及寄存器:

相比进入之前,ESP减了8,压入了字符串地址:0x403000、printf地址:0x00405782

指令:

push 0x403000

call [0x402004] 

第二次进入虚拟机之前,寄存器及堆栈环境:

虚拟机中的操作:

退出虚拟机后:

相比进入之前,ESP加了4

指令:add esp,0x4

所以,保护的指令是:

push 0x403000

call [0x402004]

add esp,0x4

总结:观察进入和退出前后,寄存器和堆栈发生的变化,结合虚拟机指令,推出等价的指令,进行还原

K_BLACKHOLE
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VMProtect的逆向分析和静态还原
12-26
详细介绍了VMProtect的特点,同时讲解了vmp的逆向分析和静态还原点。目录如下: 一、VMProtect逆向分析 (一)VMP简单介绍 (二) VMP逆向分析 执行流程图全貌 VMP的Handler VMP指令分类 逻辑运算指令 寄存器轮转 字节码加密和随机效验 阶段总结 二、VMProtect静态跟踪 (一)虚拟执行特点 (二)执行引擎的虚拟执行 (三)分析条件跳转的两条出边 三、字节码反编译 (一)中间表示语言 (二)指令化简和优化 (三)转换汇编指令——树模式匹配 (四)归类映射寄存器 (五)转换汇编指令——动态规划 (六)寄存器染色 基本块内的寄存器轮转 基本块间的寄存器轮转 寄存器的二义性问题 识别寄存器的二义性的步骤
VMprotect简介
寻梦&之璐
02-24 3537
VMP简单介绍 VMprotect是一款虚拟机保护软件,是目前最为流行的保护壳之一,与其他类型保护软件不同的是,它使用的是虚拟机保护技术,侧重点在于保护所指定的函数,增加逆向分析的复杂度 虚拟机保护特征 将由编译器生成的本地代码(Native Code)转换成字节码(Bytecode) 将控制权交给虚拟机,由虚拟机来控制执行 转换后的字节码非常难以阅读,增加了破解的复杂性 虚拟机其实就是一个字节码解释器,它循环的读取指令并执行,并且它只有一个入口和一个出口(VM_EXIT)。通过静态分析,可以分析出整
vmprotect 2.09 已注册版
08-16
vmprotect 2.09 已注册版,加壳后的体积小,很好
VMPROTECT 虚拟机保护软件
12-23
世界最强大的 虚拟机保护软件,压缩文件!欢迎下载研究!
VMPROTECT:使用虚拟机的混淆方法
03-21
VMPROTECT 使用虚拟机保护程序的代码混淆方法 虚拟机可模拟CPU和其他一些硬件组件,允许执行算术运算,对内存进行读写以及与I / O设备进行交互。它可以理解可用于编程的机器语言。代码混淆中使用的虚拟机与常见的虚拟机器完全不同。它们非常特定于执行几组指令的任务。每个指令都有一个自定义的操作码(通常是随机生成的)。 目录 要求 NASM [在2.13.02上测试] Python3 [在3.6.9上测试] Tkinter [在8.6上测试] g ++ [在7.5.0上测试] 使[在4.1上测试] 设置 创建了一个bash脚本,以简化开发环境的设置。在开始时,脚本会检查并安装必要的软件。接下来,复制文件并运行一些单元测试。 bash脚本与基于Debian的发行版和Advanced Package Tool兼容,后者可处理软件的安装和删除。 设置环境后,目录结构如下图所示。有: 调试器-
vmprotect 加壳工具
08-13
vm 加壳工具 支持界面/命令行操作方式, 使用简单 易懂
VMProtect怎么用_VMProtect使用教程
zisongjia的博客
03-13 2万+
不少软件作者为选择一款合适的加密软件而困惑。建议作者不要太依赖壳的保护,大多数壳是可以被攻破的,还是在自身保护上下些功夫。选择壳的时候,更多的时候考虑其兼容性。 目前流行的一些壳可以参考一下这里:http://www.pediy.com/tools/packers.htm 现在壳的发展一个趋势就是虚拟机保护,利用虚拟机保护后,能大大提高强度,因此建议尽可能使用此类技术保护软件。 如The
软件保护机制的工具VMProtect
控件相关知识
04-22 472
VMProtect是一款全新的软件保护工具。与其它大部分的保护程序不同,VMProtect可修改程序的源代码。VMProtect可将被保护文件中的部分代码转化到在虚拟机(以下称作VM)上运行的程序(以下称作bytecode)中。您同样可把VM想象为具备命令系统的虚拟处理器,该命令系统与Intel 8086处理器所使用的完全不同。例如,VM没有负责比较2个操作数的命令,也没有有条件与无条件的移...
简单三步教你利用VMProtect轻松保护你的代码
热门推荐
zjj32的博客
02-17 3万+
利用VMProtect加密后的程序和之前有什么区别呢?是否真的能能有效保护代码呢?本文将带你一探究竟。
如何更好更正确的利用VMProtect保护你的软件
u013514820的专栏
02-11 7549
一.前言 这篇文章主要目的是对VMP壳主要特性有初步的了解,掌握VMProtect3.5软件正确有效的使用方法,并以一个具体案例来演示,演示所使用的版本为VMProtect3.5已注册版本,授权已经过期但保护效果依旧没有过时,官网也才是3.51补丁版本,文章演示所用版本将会在文章末尾附上下载链接。 二.VMProtect浅析 1.打包(压缩/加密) 压缩/加密可执行文件的代码部分以防止被静态分析,这是很常见的保护手法。考虑到被压缩/加密代码在运行过程终究会被还原成正常的未加密的代码,所以会在执行期间
[新增支持.NET保护]最新VMProtect ULTIMATE 3.4.0 Build 1155
12-11
最新VMProtect ULTIMATE 3.4.0 Build 1155, 在这个版本中新增加.NET程序的保护,让你的程序更安全!
加密解密软件VMProtect入门使用教程(一):软件及专业术语介绍
励志做最业余的专业博主,控件产品可以私我~
04-21 625
虚拟化-将应用程序的可执行代码的一部分转换为虚拟机的命令的过程,其特征在于潜在黑客未知的命令系统、架构和操作逻辑。VMProtect中应用的应用程序代码突变的方法基于向应用程序代码添加各种过多的“垃圾”命令、代码的“死”部分、随机条件跳转的过程。VMProtect与其他软件保护器的主要区别在于它能够使用不同的方法保护代码的不同部分:代码的一部分可以被虚拟化,另一部分被混淆,并且使用组合方法保护关键片段。主要焦点放在保护解包/解密程序或过程上。字节码-在将真实的处理器的命令转码为虚拟机的命令之后接收的代码。
加密解密软件VMProtect入门使用教程(二):分析、破解和保护软件
励志做最业余的专业博主,控件产品可以私我~
04-23 1574
重要的是,无论目标平台如何,VMProtect都支持所有范围的可执行文件,即Windows版本可以处理Mac OS X版本的文件,反之亦然。的架构,为虚拟机模拟的处理器的相应架构构建反汇编程序,并分析反汇编代码。同时,VMProtect有一个内置的反汇编程序,可以与Windows和Mac OS X可执行文件一起使用,并且还可以链接编译器创建的MAP文件,以快速选择要保护的代码片段。通常,这些保护方法的高效率是基于人为因素的:代码越复杂,应用程序使用的资源越多,破解者就越难理解程序逻辑,从而无法破解和保护
VMProtect使用教程
qq_35129925的博客
05-14 9565
1.下载SDK,C++包含库及目录 2.调用设置 #include #include “VMProtectSDK.h” int main() { VMProtectBegin(“main”); //虚拟 //VMProtectBeginVirtualization(“main”);//虚拟 //VMProtectBeginMutation(“main”);//变异 //VMProtectBe...
VMProtect使用说明
m0_46135508的博客
06-17 3647
VMProtect使用说明 一. 接口说明 二. 使用方法 必须有相对应的VMProtectEnd结束。比如: 保护的单元是函数,而不是整个EXE代码 比如: 保护嵌套情况 字符串保护 应使用VMProtectDecryptStringA或VMProtectDecryptStringW函数保护名为字符串,被保护后,明晚字符串不再出现在内存,除非被解密的那一刻! 调用方法:.........
代码保护软件 VMProtect 用户手册之使用VMProtect: 准备项目
weixin_34400525的博客
04-26 677
VMProtect 是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。 【VMProtect最新试用版下载】接下来我们一起来看一个非常简单的应用程序,它只包含一个表单(Form1),一个文本元素(Edit1)...
VMProtect简单教程
qq_24954975的博客
03-04 5760
最近c++项目中用到了VMProtect加壳工具,下面记述下使用心得。   概念:VMProtect 是新一代的软件保护系统,将保护后的代码放到虚拟机中运行,这将使分析反编译后的代码和破解变得极为困难。使用 MAP 文件或内建的反编译引擎,您可以快速选择需要保护的代码。   使用:开始界面是“简单模式”如下图,拖入想要加壳的文件。可以简单进行加壳。 (2)专家模式:在菜单栏选设置-专家模
vmprotect unpacking
最新发布
12-19
VMProtect是一种流行的保护软件,它可以对软件进行加密和保护,防止逆向工程和破解。然而,有些人可能需要对经过VMProtect加密的软件进行解密(unpacking),以便进行进一步分析或修改。解密VMProtect加密的软件需要一定的技术和工具。 VMProtect unpacking的过程通常涉及使用专门的工具或脚本来提取VMProtect加密的软件。第一步是使用反汇编器对目标程序进行分析,了解VMProtect保护机制和加密算法。然后根据所得到的信息,编写解密脚本或使用现成的解密工具进行操作。 在进行VMProtect unpacking的过程中,会面临一些技术挑战,比如潜在的反调试和反虚拟机技术,以及对加密算法的理解和解密技术的运用。通常需要有深入的逆向工程和加密解密知识才能成功进行VMProtect unpacking。 需要注意的是,VMProtect是一种合法的软件保护工具,对其进行解密需要符合当地的法律法规。在进行VMProtect unpacking时,应当遵守法律法规,不得用于非法用途。 总之,VMProtect unpacking是一项技术挑战较大的工作,需要有深入的技术功底和相关领域的知识。同时,在进行这项工作时,也要严格遵守法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值