(VMProtect 分析)跟着ida和WinDbg逛VirtualMachine

VMProtect保护下的代码混淆分析与解密流程
最新推荐文章于 2022-09-25 12:34:19 发布
原创 最新推荐文章于 2022-09-25 12:34:19 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#VMProtect #windbg #ida

本文详细分析了一个受到VMProtect保护的程序中的混淆代码,展示了从参数处理到跳转地址计算的过程。经过人工简化,揭示了代码的逻辑,包括从数据段解密逻辑和数据。通过三个阶段的分析,可以看出代码处理的连贯性和一致性。最终,文章指出handler5的主要任务是根据输入参数解密隐藏的逻辑和数据。

参考:https://www.52pojie.cn/thread-586130-1-1.html

本文中的代码示例来源于vgk.sys(1.0.0.3),主要展示调试/简化vm代码的结果。

  调试中的相关数据:

          1,ida中静态ImageBase=0x140000000

           2,WibDbg中动态ImageBase=0x2bf70d00000

从文件中抽出的某个函数的开头部分,代码出现的先后顺序就是其逻辑上的执行顺序。

第一个跳转地址(push rdi retn)计算,未去混淆的代码片段如下:

      
.stub0:00000001405BC2AD                 push    2B6CD1BFh
.stub0:00000001405BC2B2                 call    sub_1405bc2b2



.stub0:00000001405716F3 sub_1405bc2b2        proc near               
.stub0:00000001405716F3 var_210         = dword ptr -210h  ;局部变量
.stub0:00000001405716F3 arg_0           = qword ptr  8       ;入栈的参数

.stub0:00000001405716F3                 push    r9
.stub0:00000001405716F5                 jmp     loc_1404CCEC7
.stub0:00000001405716F5 sub_1405bc2b2        endp


.stub0:00000001404CCEC7 loc_1404CCEC7:                          
.stub0:00000001404CCEC7                 push    r11
.stub0:00000001404CCEC9                 mov     r9d, 70D45E67h
.stub0:00000001404CCECF                 movsxd  r9, r11d
.stub0:00000001404CCED2                 jmp     loc_1404D640D


.stub0:00000001404D640D loc_1404D640D:                          
.stub0:00000001404D640D                 pushfq
.stub0:00000001404D640E                 push    rbp
.stub0:00000001404D640F                 movsx   r11, di
.stub0:00000001404D6413                 movzx   r11w, r10b
.stub0:00000001404D6418                 movzx   r11, r9w
.stub0:00000001404D641C                 push    r14
.stub0:00000001404D641E                 push    r13
.stub0:00000001404D6420                 movsx   r9, ax
.stub0:00000001404D6424                 inc     r11b
.stub0:00000001404D6427                 push    r12
.stub0:00000001404D6429                 movsx   r11d, r12w
.stub0:00000001404D642D                 push    r15
.stub0:00000001404D642F                 push    rbx
.stub0:00000001404D6430                 mov     r11b, sil
.stub0:00000001404D6433                 push    rdx
.stub0:00000001404D6434                 movsx   r9, r12w
.stub0:00000001404D6438                 mov     r9b, 4Fh ; 'O'
.stub0:00000001404D643B                 push    rcx
.stub0:00000001404D643C                 not     bl
.stub0:00000001404D643E                 movsx   ecx, r8w
.stub0:00000001404D6442                 push    r8
.stub0:00000001404D6444                 movzx   cx, dil
.stub0:00000001404D6449                 movsxd  rbx, r15d
.stub0:00000001404D644C                 push    rax
.stub0:00000001404D644D                 xchg    r8b, r11b
.stub0:00000001404D6450                 push    rdi
.stub0:00000001404D6451                 push    r10
.stub0:00000001404D6453                 push    rsi
.stub0:00000001404D6454                 mov     r9, 0           
.stub0:00000001404D645E                 movsxd  rax, r11d
.stub0:00000001404D6461                 movsx   ecx, r11w
.stub0:00000001404D6465                 mov     esi, 520669DDh
.stub0:00000001404D646A                 push    r9
.stub0:00000001404D646C                 lahf
.stub0:00000001404D646D                 cdqe         
.stub0:00000001404D646F                 cwde
.stub0:00000001404D6470                 mov     rsi, [rsp+88h+arg_0]  
.stub0:00000001404D6478                 movsx   r8, dx          
.stub0:00000001404D647C                 cbw
.stub0:00000001404D647E                 bswap   esi             
.stub0:00000001404D6480                 dec     esi              
.stub0:00000001404D6482                 movsx   bx, r10b
.stub0:00000001404D6487                 neg     esi              
.stub0:00000001404D6489                 sets    r11b
.stub0:00000001404D648D                 cdqe
.stub0:00000001404D648F                 bswap   di
.stub0:00000001404D6492                 inc     esi             
.stub0:00000001404D6494                 lea     rsi, [rsi+r9]   
.stub0:00000001404D6498                 mov     rax, 100000000h
.stub0:00000001404D64A2                 and     r11b, r14b
.stub0:00000001404D64A5                 add     rsi, rax         
.stub0:0
最低0.47元/天 解锁文章
[re]无需脱壳dump内存来静态分析
Breeze的博客
03-04 1万+
[re]无需脱壳dump内存来静态分析 文章目录[re]无需脱壳dump内存来静态分析静态分析动态调试dump内存继续静态分析分析补充 ctf逆向中遇到加壳的程序,其实大部分情况下无需脱壳,因为我们的目的是解题的到flag,只需分析出题目的算法,而不必要将壳完整的脱下来。所以我们可以采取动态调试等壳程序运行结束之后直接将解密后的源代码从内存中dump下来静态分析的方法来解题,下面以一道题目进行说明...
VMProtect虚拟机保护及还原
ZK_1874的博客
04-02 2758
VMProtect虚拟机保护及还原
「娃娃分享」-个人总结的一个VMP脱壳步骤.
weixin_30929295的博客
05-30 1073
个人总结的一个VMP脱壳步骤 个人在学习脱VMP加壳的过程中总结的一个步骤。按照这个步骤,包括VMP1.6—2.0在内应该有70%-80%能脱壳。脱不了的也别问我,我也刚开始学习。我还想找人问呢。 想要脱VMP的壳,首要工作当然是要找一个强OD啦!至于是什么版本的OD自己多试验几个,网上大把大把的,一般来说只要加载了你想脱的VMP加壳程序不关闭都可以。 其次就是StrongOD....
1.IDA-基本操作(改变Image Base地址、打开、保存IDA的不同方式)
热门推荐
hgy413的专栏
09-01 1万+
启动                启动IDA,会出现以下对话框: New:启动一个标准的File Open对话框,让你选择 Go:打开一个空白工作区,这时只需把二进制文件直接拖入到IDA工作区 Previous:打开最近用过的文件中一个   加载文件                    拖入文件后,会弹出一个加载对话框,如果未识别文件,则默认为Binary File为唯一选项
VMProtect的逆向分析静态还原
12-26
详细介绍了VMProtect的特点,同时讲解了vmp的逆向分析静态还原点。目录如下: 一、VMProtect逆向分析 (一)VMP简单介绍 (二) VMP逆向分析 执行流程图全貌 VMP的Handler VMP指令分类 逻辑运算指令 寄存器轮转 字节码加密随机效验 阶段总结 二、VMProtect静态跟踪 (一)虚拟执行特点 (二)执行引擎的虚拟执行 (三)分析条件跳转的两条出边 三、字节码反编译 (一)中间表示语言 (二)指令化简优化 (三)转换汇编指令——树模式匹配 (四)归类映射寄存器 (五)转换汇编指令——动态规划 (六)寄存器染色 基本块内的寄存器轮转 基本块间的寄存器轮转 寄存器的二义性问题 识别寄存器的二义性的步骤
IDA\Windbg调试
weixin_30642305的博客
10-31 317
IDA静态反汇编技巧 一、通过添加类型库 二、添加结构   在Structures窗口中显示当前可用结构信息,可手工添加结构,也可导入结构,有二种方法导入:   A、通过定义一个c语言的头文件,将结构定义写在头文件中,然后通过菜单Load File->Parse c header file导入文件中定义的结构   B、在Structures窗口中,按INS键添加结构,这时...
VMProtect的逆向分析静态还原.ppt
04-06
VMProtect 逆向分析静态还原 VMProtect 是一款虚拟机保护软件,通过将本机代码转换成字节码并由虚拟机执行,增加了逆向分析的复杂度。VMProtect 的逆向分析可以分为三个部分:VMProtect 逆向分析、静态跟踪字节...
VMProtect逆向分析
02-01
VMProtect逆向分析》是针对软件保护技术中的一项重要课题,主要探讨如何对使用VMProtect工具加密混淆后的程序进行逆向工程分析VMProtect是一款强大的代码保护工具,它通过虚拟机技术来提高程序的反调试反...
第一次碰到VMProtect
把梦想放飞在蓝色的天空里...
05-09 2573
第一次碰到虚拟机保护技术,确实很强大!用ODImunityDbg一加载,直接退出,不给任何跟踪的机会!用windbg打开,因为默认不是停在程序的入口,故一打开直接报        凭着自己已往的经验,找到程序的入口点,直接修改入口的两个字节(INT 3),程序爆出异常,再选择调试,却还是静静地退出了。好比你想去参加一个盛会,但是却连入场的资格都没有~ 心里那个苦!闷!然后就在网上到处寻找方法,
VMAttack 2016出的最新的分析vmp的ida插件源码
01-20
2016公布的最棒的ida插件,英文版,源码,python写的,可以自动半自动分析vmp源码,非常棒的ida插件源码
【原创】VMProtect代码还原技术
OSReact的专栏
07-12 3992
发现大家对VMProtect这个壳比较害怕,所以找了个最新的版本分析了一下,发现他有很多垃圾指令,并且还使用了虚拟机保护,而且每个被他加壳后的程序,虚拟机的代码好像还不一样。如果要做VMProtect的自动脱壳机,应该是要先去掉垃圾指令,再重组指令,再自动识别虚拟机指令的含义,最后重组虚拟机代码,还原出加壳前的EXE。     看了一下VMProtect的垃圾花指令,其实是很有规律的,主要就是在
某vmp壳原理分析笔记----ELF文件的加载,链接,IDAPYTHON
zhangmiaoping23的专栏
01-17 2701
某vmp壳原理分析笔记 分析的样本为某数字公司最新免费壳子。之前的壳子已经被很多大佬分析了,这篇笔记的主要目的是比较详细的分析下该vmp壳子的原理,数字壳子主要分为反调试,linker,虚拟机三部分。笔记结构如下: 反调试 时间反调试 rtld_db_dlactivity反调试 traceid反调试 端口反调试 linker部分:用来加载第二个so 装载 ...
开源一个IDA小插件:修复VMP dump导入函数
yan_star的博客
01-19 3134
简述: 通常我们在静态分析vmp加壳后的程序或者驱动时,都会选择将其跑开然后看dump文件。但是vmp会将某些函数地址进行混淆,所以当我们想看一个函数时,常常会见到如下图所示代码段: 面对上述情况,我之前一般都是默默的打开计算器,人肉去算地址,然后看落在哪个模块上,把对应模块扣出来,改基址,接着根据算出的地址看是哪个对应函数,最后回到dump文件,将名字标上!算一个,两个还能忍,但是当面对无数这样的函数,甚至说你算到最后发现竟然是之前已经标过的函数时,头已经大了。 于是,在经历这样的折磨之后,写了一个ID
利用IDA的F5来反VMP2.x的Mutation保护
Lixinist的博客
04-08 1890
先说说我对IDA的看法:我怀疑IDA公司有内鬼。 我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。 F5的自动化反混淆很好用,可以清掉vmp2.x的90%的变异代码。 但是交互可能是“内鬼”写的,用起来是真的不舒服,各种多管闲事(删了函数又自动创建出来),交互失灵(做了删函数删变量等等操作,graphf5都没有变化,需要把当前函数删了重新创建才会变化)。 用IDA...
IDA+VM调试分析主引导区病毒key加密算法
want的博客
08-04 860
#1.修改虚拟机vmx配置,后面附加上 debugStub.listen.guest32 = "TRUE" debugStub.hideBreakpoints = "TRUE" bios.bootDelay = "12000" bios.bootDelay = “12000” 表示12s延时等待IDA远程连接调试,默认端口为8832. #2.因为IDA默认反汇编是32位,而MBR是16位汇编代码,所以需要调整 #3.在mbr载入内存处0x7c00处下断点 #4. ...
C++反汇编 利用反汇编分析常见C/C++语句的底层实现(硬核)
ylh的博客
09-25 5836
解释了底层C语言的语句执行情况,在此后,我也会写很多有意义的C++反汇编的代码,帮助大家理解C/C++的底层含义。
滴水三期:day04.4-其他的汇编指令
Edimade的博客
02-12 3340
一、ADC指令>二、SBB指令>三、XCHG指令>四、MOVS指令>五、STOS指令>六、REP指令>七、作业练习指令
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4799
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值