由于工作需要,经常会接触一些加过壳的软件,VMProtect是其中自己比较’欣赏’的一款加壳软件,先从运行时开始分析。
VMProtect正版授权在线订购享受最低价,仅售801元起!还不赶紧加入你的订购清单/span>>>更多详情可点击咨询购买
前言
由于工作需要,经常会接触一些加过壳的软件,VMProtect是其中自己比较’欣赏’的一款加壳软件,曾考虑过做一次庖丁解’V’,无奈工作较忙,一直没有合适的机会(太懒),不过,好在终于说服自己开始了。言归正传,先从运行时开始。
准备工作
将下述代码编译为控制台X64可执行程序VMP.exe.
#include <stdio.h>int main(){ auto v1 = 1; auto v2 = 2; auto vsum = v1 + v2; printf("1 + 2 = %d", vsum); getchar(); return 0;}
使用VMProtect Ultimate v 2.13.5 加壳处理,生成VMP_UserDebugger.exe:
X64DBG启动调试:
先运行跟踪抓一些代码,方便分析:
分析过程-运行时
当执行到如下所示代码处时,所需的寄存器环境已基本初始化完成完成(000-05B为寄存器初始化代码):
此时,运行环境已基本初始化完成(分析见下文),需特别关注的寄存器如下表所示:
PS:此时,栈中已压入Handler基址数据,此时栈顶指针RBP指向栈底-8位置,而不是栈底。
分析后续代码:
可以看到,已经进入’VM’的世界了,需要注意到06F和073处代码,可以发现对字节码的’取’操作是逆序的(后文我们可以发现,对操作码和操作数的’取’操作,皆是逆序进行的),将这个块标记为VmInitialize。
继续分析后面的Handler:
可以看到是一个POP操作,将栈中数据POP到一个伪寄存器(BYTE:[RSI-1]指示了要POP到哪个寄存器),将这个代码段标记为VmPOP8。
继续:
除了缺少RSI和R12的赋值,其它基本与VmInitialize相同,另外可以注意到操作码的二者解码算法是一致的,将其标记为VmJMP。
继续:
可以看到是一个PUSH操作,记为VmPUSH4, 注意10F处的ja,是栈溢出错误检查,结合108处代码,可以知道RDI指向的伪寄存器组的大小为0xE0这个事实。
跳过110处的VmJMP操作(参见上文),继续:
这是一个基于栈的加法操作,将其标记为VmADD。我们参考VmADD实现,可以大胆猜测VMP的二元运算栈模型,如下图:
总结
至此,简单总结一下,VMP维护了一个伪寄存器组(RDI),虚拟机栈(RBP),虚拟了PUSH, POP, JMP等指令,虚拟了基于栈的ADD等算术运算。
虚拟机运行时内存布局如下:
二元运算模型如下:
如果您对该加密/解密软件感兴趣,欢迎加入vmpQQ交流群:
标签:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!