查壳可以看到是vmp的壳,根据网上其他的文章可以确定是3.x版本貌似是3.5。根据其他文章介绍虽然加密,但是貌似只对IAT进行了vm,所以可以用该工具模拟出IAT。
使用沙箱定位到代码段调用的API,这里选择MoveFileEx。因为当勒索软件涉及到对文件操作时证明被vmp保护的代码段已经被解密加载到.txt节中,此时是比较好的解密点。
Automated Malware Analysis Report for update.exe - Generated by Joe Sandbox
运行到OEP后选择MoveFileExW API
来到API函数入口设置硬件端点,硬件断点是为了防止软件断点会影响壳的执行流程
执行后中断在我们设置的硬件端点下。
返回到用户态代码,可以看到call xxxxx int3。这是被vmp3.x保护的导入函数虚拟化特征,该函数会进行一系列运算,最后解析出API并调用
根据其他报告提示该样本的OPE特征为微软VS特征。接下来随意用VS编译一个helloword的64位程序并用IDA观察入口特征
首先找到export选项卡,来到OEP处
在VS编译器中会生成一段安全cookie的hash,该hash值不变可以作为特征串查找OEP附近的代码
回到中断的内存中,点击内存布局中查看
可以看到已经解密代码到.text节中,而不是存在下面的附加节中。
我们只需要在.text节中搜索cookie特征值即可,邮件内存窗口中转到
右键–>特征搜索
搜索后只有一处特征值,该值就是VS编译器OEP附近的设置安全cookie处。如果有多个该技巧可能并不适用
对比后为VS编译器设置安全Cookie的函数
删除其他断点,在安全cookie函数入口处设置硬件断点
重新运行程序中断在函数序言中,此时与真正的OEP很接近了
查看调用栈跟随到调用地址
可以看到来到一块位置代码内容中
内存布局转到,可以发现已经不在.text中,证明OEP已经被vmp保护了。所以我们不能直接dump出干净的OEP,可能需要后续手动修复
使用vmpdump对解密后的程序进行dump
VMPDump.exe 8852 “” -disable-reloc
注意,dump进程名不能过长,否则会失败
接下来将dump程序拖入IDA,可以看到此时入口点仍为VMP壳节代码中,需要我们自己手动搜索特征修复
搜索cookie的hash值
选择text代码节,这是我们dump出来的解密代码部分
将函数名和函数类型改为初始化cookie
同理,我们搜索__scrt_common_main_seh函数的特征,由于该函数没有常量,我们只能取函数部分字节码做特征搜索
同理需要继续向下定位到main函数
在重命名完成后,需要我们手动修改入口点的OEP。对比正常的VS编译程序修改入口点代码
修改后如下
接下来需要计算跳转的相对偏移,call指令的下一条指令地址-安全cookie初始化函数的地址。又因为vmp壳的代码节在.text的下方,所以相对跳转的值应该取负值,这样就可以从.2fU1节向上跳转到.text节中
计算出该值还需要加1字节
修改相对跳转,
回到入口点可以发现修改成功
同理可以修改main_seh
最后patch程序即可
重新调试即可
脱壳后的main函数
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
