永利最大(官方)网站

代码加壳保护软件VMProtect从运行时开始分析

转帖|使用教程|编辑:杨鹏连|2021-07-14 11:03:46.407|阅读 373 次

概述:由于工作需要,经常会接触一些加过壳的软件,VMProtect是其中自己比较'欣赏'的一款加壳软件,先从运行时开始分析。

#慧都22周年庆大促·界面/图表报表/文档/IDE/IOT/测试等千款热门软控件火热促销中>>

VMProtect是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。

VMProtect通过在具有非标准体系结构的虚拟机上执行代码来保护代码,这将使分析和破解软件变得十分困难。除此之外,VMProtect还可以生成和验证序列号,限制免费升级等等。

下载VMProtect最新试用版

VMProtect正版授权在线订购享受最低价,仅售801元起!还不赶紧加入你的订购清单?>>更多详情可点击咨询购买

前言
由于工作需要,经常会接触一些加过壳的软件,VMProtect是其中自己比较'欣赏'的一款加壳软件,曾考虑过做一次庖丁解'V',无奈工作较忙,一直没有合适的机会(太懒),不过,好在终于说服自己开始了。言归正传,先从运行时开始。
准备工作
将下述代码编译为控制台X64可执行程序VMP.exe.
 

#include <stdio.h>
int main()
{
    auto v1 = 1;
    auto v2 = 2;
    auto vsum = v1 + v2;
    printf("1 + 2 = %d", vsum);
    getchar();
    return 0;
}

 使用VMProtect Ultimate v 2.13.5 加壳处理,生成VMP_UserDebugger.exe:

代码加壳保护软件VMProtect从运行时开始分析

代码加壳保护软件VMProtect从运行时开始分析

X64DBG启动调试:
代码加壳保护软件VMProtect从运行时开始分析
先运行跟踪抓一些代码,方便分析:
代码加壳保护软件VMProtect从运行时开始分析

分析过程-运行时

当执行到如下所示代码处时,所需的寄存器环境已基本初始化完成完成(000-05B为寄存器初始化代码):

代码加壳保护软件VMProtect从运行时开始分析

此时,运行环境已基本初始化完成(分析见下文),需特别关注的寄存器如下表所示: 

代码加壳保护软件VMProtect从运行时开始分析
PS:
此时,栈中已压入Handler基址数据,此时栈顶指针RBP指向栈底-8位置,而不是栈底。

分析后续代码:

代码加壳保护软件VMProtect从运行时开始分析

 可以看到,已经进入'VM'的世界了,需要注意到06F和073处代码,可以发现对字节码的'取'操作是逆序的(后文我们可以发现,对操作码和操作数的'取'操作,皆是逆序进行的),将这个块标记为VmInitialize。

继续分析后面的Handler:
代码加壳保护软件VMProtect从运行时开始分析

 可以看到是一个POP操作,将栈中数据POP到一个伪寄存器(BYTE:[RSI-1]指示了要POP到哪个寄存器),将这个代码段标记为VmPOP8。

继续:
代码加壳保护软件VMProtect从运行时开始分析

 除了缺少RSI和R12的赋值,其它基本与VmInitialize相同,另外可以注意到操作码的二者解码算法是一致的,将其标记为VmJMP。

继续:
代码加壳保护软件VMProtect从运行时开始分析

 可以看到是一个PUSH操作,记为VmPUSH4, 注意10F处的ja,是栈溢出错误检查,结合108处代码,可以知道RDI指向的伪寄存器组的大小为0xE0这个事实。

跳过110处的VmJMP操作(参见上文),继续:

代码加壳保护软件VMProtect从运行时开始分析

 这是一个基于栈的加法操作,将其标记为VmADD。我们参考VmADD实现,可以大胆猜测VMP的二元运算栈模型,如下图:

代码加壳保护软件VMProtect从运行时开始分析
总结

至此,简单总结一下,VMP维护了一个伪寄存器组(RDI),虚拟机栈(RBP),虚拟了PUSH, POP, JMP等指令,虚拟了基于栈的ADD等算术运算。
虚拟机运行时内存布局如下:

代码加壳保护软件VMProtect从运行时开始分析
二元运算模型如下:

代码加壳保护软件VMProtect从运行时开始分析

如果您对该加密/解密软件感兴趣,欢迎加入vmpQQ交流群:740060302


标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@hmdbvip.cn

文章转载自:

为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP
PM娱乐城网络现金网站(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新) PM娱乐城最大(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新) 永利外围最新(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新) 网络权威朗驰娱乐大全(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新) 永利真人网上足球(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新) 利记最火十大网(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新) boyu·博鱼权威网络足球(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新) PM娱乐城网上足球(官方)网站/网页版登录入口/手机版登录入口-最新版(已更新)