半岛权威十大直营(官方)网站

VMProtect虚拟机保护分析入门(上)

转帖|使用教程|编辑:胡涛|2022-04-12 14:28:07.260|阅读 410 次

概述:本文主要向您介绍VMProtect虚拟机保护分析入门,欢迎查阅!

# 界面/图表报表/文档/IDE等千款热门软控件火热销售中 >>

开始

以前在逆向分析的时候,遇见VMP的代码就束手无策,只能跳过。最近在分析的时候又遇见vmp,准备研究一下。我这次遇见的VMP用查壳工具看是VMProtect(1.60-2.05)[-]。所以本次选用的壳版本是VMP1.8,也可前往下载最新版试用!

VMProtect 最新下载

VMP介绍

VMP全称VMProtect,号称目前软件保护最扣一道防线。为了防止逆向分析人员对软件的逆向分析,VMP最主要的是对指定关键代码进行虚拟化,同时再加一些乱序跳转和大量的废指令,反调试,内存保护,导入表保护,使逆向分析人员无法分析执行的代码,经过VMP虚拟机的代码被膨胀好多倍。本次学习只研究VMP最关键和最难的部分:虚拟化

初步对比

我在visual stdio里写了下面代码,并对加壳时TestVmpFunc函数选择虚拟化。本都得使用的调试器是x64dbg 

#include <iostream>

_declspec(naked) void TestVmpFunc()
{
__asm
{
mov eax,0x100
mov ebx,0x1000
add eax,ebx
retn
}
}
int main()
{
//下面这是特征码,用于在调试器里定位自己的这段代码
__asm {
mov eax,eax
mov eax,eax
}

while (true) {
__asm {
pushad
mov eax, TestVmpFunc
call eax
popad
}
system("pause");
}
std::cout << "完成了" << std::endl;
return 0;
}

用调试器附加观察原来只有四条汇编指令:

VMProtect虚拟机保护分析入门

被虚拟化后成这样:

VMProtect虚拟机保护分析入门

代码被虚拟化之后,假如在调试器中单步执行会跳来跳去,一条汇编会变成成百上千条指令,无法判断他在干什么。

基本原理

经过一番查资料,知道本质来讲VMP是一个基于堆栈机的intel指令模拟器,对过编译把原来的intel指令编译成精心设计的一组虚拟指令,然后用自己的一套引擎来解释执行。VMP加壳后,他会将原来的代码进行删除,导致基本完全无法进行还原。

VMP是防止别人逆向分析自己的代码,逆向分析的目的是分析代码,了解代码逻辑和代码的目的,然后加以利用。看样子,目前只能通过对虚拟机引擎的分析,来搞懂虚拟机引擎,然后理清代码流程,达到逆向分析的目的。

自己实现一个简单的虚拟机加深了解

定义寄存器和内存

这里第8个寄存器为指令指针寄存器类似x86的eip 

uint32_t g_regs[8];//8个寄存器
uint32_t g_mem[1000];//1000个内存空间

这里为了简单,规定每条指令都有三个操作数(哪怕某一条指令用不到三个参数)

指令格式为:OPCODE r,s,t 

//指令操作数
struct Instruct {
    uint32_t opcode;
    uint32_t r;
    uint32_t s;
    uint32_t t;
};

声明OPCode 

enum OP_CODE {
opSTOP,/*停止执行 忽略r,s,t参数*/
opIN,/*读入一个值放到reg[r]里*/
opOUT,/*将reg[r]的值输入*/
opADD,/*regs[r] = regs[s] + regs[t]*/

opLD,//regs[r]=dmem[regs[s] + t]
opST,//dmem[regs[s] + t] = regs[r]

opLDA,//regs[r]= regs[s]+t
opLDC,//regs[r]=t
};
std::vector<instruct> g_instruct_list;//指令列表

初始化 

void Init()
{
memset(g_regs, 0, sizeof(g_regs));
g_instruct_list.clear();
}
加载代码 
void LoadCode(const std::string & file_name)
{
//代码文件为txt文件
//每行模式为opcode,r,s,t
//例如:1,0,0,0
std::ifstream file(file_name);
if (!file.is_open()) {
return;
}

auto GetOneInstruct = [&file](Instruct & instruct) {
char elem;
uint32_t values[4] = { 0 };
bool success = true;
for (int i = 0; i < 4 ; i++) {
file >> values[i];
if (file.fail()) {
success = false;
break;
}
if (i < 4 - 1) {
file >> elem;
}
}
if (!success) {
return false;
}
instruct = { values[0],values[1],values[2],values[3] };
return true;
};

Instruct instruct;
while (GetOneInstruct(instruct)) {
g_instruct_list.push_back(instruct);
}
}

运行指令 

bool RunInstruct(const Instruct& instruct)
{
switch (instruct.opcode) {
case opSTOP:
return false;
case opIN:
Handle_opIN(instruct);
break;
case opOUT:
Handle_opOUT(instruct);
break;
case opADD:
Handle_opADD(instruct);
break;
default:
throw std::logic_error("Invalid Op Code:" + std::to_string(instruct.opcode));
break;
}
return true;
}

void RunCode() {

while (true) {
uint32_t eip = g_regs[7];
if (eip > g_instruct_list.size() - 1) {
break;
}
const Instruct& instruct = g_instruct_list.at(eip);
if (!RunInstruct(instruct)) {
break;
}
g_regs[7]++;
}
}
// handle处理
void Handle_opIN(const Instruct& instruct);
void Handle_opOUT(const Instruct& instruct);
void Handle_opADD(const Instruct& instruct);
void Handle_opLD(const Instruct& instruct);
void Handle_opST(const Instruct& instruct);
void Handle_opLDA(const Instruct& instruct);
void Handle_opLDC(const Instruct& instruct);

测试 

int main()
{
Init();
LoadCode("asm.txt");
RunCode();

return -1;
}

注:本文转自博客园/ 作者:张东升 / 如涉及侵权,请联系删除!

查阅→VMProtect虚拟机保护分析入门(下)


标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@wqylolg.cn

文章转载自:

为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP