QQ登录

只需一步,快速开始

搜索
查看: 3971|回复: 13

[调试逆向] VMP分析教程--连载

[复制链接]

780

积分

142

主题

7

精华

坛主

Rank: 9Rank: 9Rank: 9

违规
0 点
JmPoint
5059 点
声望
30 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-23
最后登录
2017-8-16
在线时间
615 小时

论坛元勋奖章特殊贡献勋章4st TeAm成员土豪勋章

发表于 2016-4-4 03:03:10 | 显示全部楼层 |阅读模式
会有一套对应的视频.野路子出来的.可能有些地方讲的有很多问题.还原各路大侠指教.共同进步.
之前,破VM程序可以破.但是,只限制余 利用调用函数  利用XX门修改判断 之类的小技巧.从来没有认真研究过核心的东西.
写个文章自我研究 共同进步. 大概一个星期更新一次吧 具体看时间.毕竟不是每个人都是B老师.可以人肉手工还原VM.在此感谢B老师的指点.B老师心算轮转表.我都怕了.
插件下熟悉VM指令 脱离插件后自己识别指令.
http://bbs.pediy.com/showthread.php?t=82618
http://bbs.pediy.com/showthread.php?t=121412
http://bbs.pediy.com/showthread.php?t=155215
正向角度
http://bbs.pediy.com/showthread.php?t=116601

如何站在巨人的肩膀上,进行无尽的装逼.

感谢各位前辈提供的资料让小菜们学习.


物理寄存器与VMP寄存器的对应关系
edi=vReg 虚拟寄存器的首地址大小为[0x40]
ebp=vESP 虚拟栈指针
esi=vEIP 虚拟机的EIP
eax,edx,ecx,ebx 保存临时数据 大部分时间作为垃圾寄存器
///////////////////////////////////
ESI 即VM.EIP
EDI 指向虚拟机通用寄存器的地址,[EDI + XXXX]是虚拟机在操作内存,且EDI指向虚拟机的堆栈的上限, 用[EDI + EAX]向下发展
EBP 指向虚拟机堆栈的栈顶,且EBP指向堆栈下限并向上发展
EAX 计算将要执行的指令序列号和选择虚拟机通用寄存器,指令执行时用作中间变量.其它时候用作花指令
EDX 执行时通常用作中间变量,其它大部分时间用来做花指令
EBX BL用作校验码.
ECX SHLD,SHRD时用作中间变量,其他大部分时间用来做花指令
ESP 指向垃圾,这个寄存器就是用来迷惑追踪者的,一般对ESP的操作都是花指令,大部分可以忽略
小笨笨的这个更全.
////////////////////////////////////////////////////////////////////////////////////////////

VMP 逻辑
OR(|)     或-------有1出1,全0出0
AND(&)    与-------有0出0,全1出1
NOT(~)    非-------0出1, 1出0
NAND(~&)  与非-----有0出1,全1出0(与的非)
NOR(~|)   或非-----有0出0,全1出0,全0出1(或的非)
XOR(^)    异或-----同为1,异为0

------------------------------------------------
用NAND实现全部公式简化  不知道推的对不对...

NOT(~a)=a ~& a

AND(a&b)=(a ~& a) ~& (b ~& b)

OR(a|b)=(a ~& b) ~& (a ~& b)

XOR(a^b)=((a ~& a) ~& (b ~& b)) ~& (a ~& b)
------------------------------------------------
VMP内的基本运算指令
ADD 加法(A+B)

NAND 非(a~&b)

SHL 左移(a<<b)

SHR 右移(a>>b)

SHLD 双精度左移(a<<x<-(h)b)

SHRD 双精度右移(a>>x->(l)b)

DIV 除法

.....
......
....... 汇编能实现的这个大部分都能实现.
-----------------------------------------------
Handler基本指令
VM_Add_16(word加法)

VM_Add_32(Dword加法)

VM_Add_8(byte加法)

VM_Nor_16(word或非)

VM_Nor_32(Dword加法)  

VM_Nor_8(byte加法)

VM_Shl_16(word左移)

VM_Shl_32(Dword左移)

VM_Shl_8(byte左移)

VM_Shld(双精度左移)

VM_Shr_16(word右移)

VM_Shr_32(Dword右移)

VM_Shr_8(byte右移)

VM_Shrd(双精度右移)

....
......
........
还有很多 加减乘除等等.不一一举例了.

点评

终于明白了什么如何分析vmp的vm,膜拜,ximo,oo木一,nooby,zdhysd,追加BambooQJ,终于算是明白了,磕头拜年  发表于 2017-1-26 21:30
感谢大牛文章,很好,很不错,看这个需要基础,否则你是真心理解不了,这段时间学习c语言c++windows编程mfc,回过头来在研究下vmp,结合大牛文章,  发表于 2017-1-26 21:27

评分

参与人数 6违规 +10 JmPoint +109 声望 +1 +4 收起 理由
耶稣 + 1 良心贴,前排支持!!!!!
Syer + 5 + 1 良心贴,前排支持!!!!!
xjun + 10 + 100 + 1 + 1 良心贴,前排支持!!!!!
Sure + 1 + 1 良心贴,前排支持!!!!!
Can + 1 良心贴,前排支持!!!!!
Pxhb + 1 + 1 良心贴,前排支持!!!!!

查看全部评分

回复

使用道具 举报

50

积分

2

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
680 点
声望
10 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-11-9
最后登录
2017-6-20
在线时间
69 小时
发表于 2016-4-4 13:48:34 | 显示全部楼层
我天,顶啊!!!
回复

使用道具 举报

186

积分

31

主题

1

精华

专家团

Rank: 7Rank: 7Rank: 7

违规
0 点
JmPoint
3363 点
声望
13 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-28
最后登录
2017-8-15
在线时间
175 小时

特殊贡献勋章

发表于 2016-4-4 14:44:50 | 显示全部楼层
看起来有点累!!!
回复 支持 反对

使用道具 举报

11

积分

3

主题

0

精华

临时会员

违规
0 点
JmPoint
163 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-12-22
最后登录
2017-5-22
在线时间
86 小时
发表于 2016-4-4 16:13:38 | 显示全部楼层
6 求实战教程
回复 支持 反对

使用道具 举报

200

积分

5

主题

1

精华

专家团

Rank: 7Rank: 7Rank: 7

违规
0 点
JmPoint
1084 点
声望
37 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-28
最后登录
2017-8-17
在线时间
176 小时
发表于 2016-4-5 11:41:22 | 显示全部楼层
期待后续,感谢分享,辛苦了
回复 支持 反对

使用道具 举报

1

积分

0

主题

0

精华

临时会员

违规
0 点
JmPoint
130 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-3-23
最后登录
2017-7-29
在线时间
7 小时
发表于 2016-4-5 21:10:38 | 显示全部楼层
要是能有视频详解 小弟不胜感激
回复 支持 反对

使用道具 举报

0

积分

0

主题

0

精华

临时会员

违规
0 点
JmPoint
9 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-4-5
最后登录
2016-4-5
在线时间
1 小时
发表于 2016-4-5 21:28:41 | 显示全部楼层
zhenxin真心的看不懂可
回复 支持 反对

使用道具 举报

0

积分

0

主题

0

精华

临时会员

违规
0 点
JmPoint
10 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-4-5
最后登录
2016-6-4
在线时间
1 小时
发表于 2016-4-5 23:22:56 | 显示全部楼层

谢谢分享
回复

使用道具 举报

1

积分

0

主题

0

精华

临时会员

违规
0 点
JmPoint
130 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-3-23
最后登录
2017-7-29
在线时间
7 小时
发表于 2016-4-8 14:47:30 | 显示全部楼层
好文章  我想很多人想学vmp吧
回复 支持 反对

使用道具 举报

119

积分

22

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
2462 点
声望
10 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-9-22
最后登录
2017-8-17
在线时间
154 小时
发表于 2016-6-22 10:39:20 | 显示全部楼层
膜拜玩VMP的大牛
哈哈…………………………………………
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即加入

本版积分规则

关闭

站长推荐上一条 /2 下一条

QQ|Archiver|手机版|小黑屋|零日安全论坛 ( 吉ICP备15004039号 点击这里给我发消息

GMT+8, 2017-8-17 15:50 , Processed in 0.199790 second(s), 38 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表