[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)

发表于: 2009-11-12 16:50 90942

[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)

Bughoho

2009-11-12 16:50

90942

123456

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#VM保护

上传的附件：

VMProtect的逆向分析和静态还原.rar （865.26kb，3310次下载）

收藏・54

免费・7

支持

最新回复 (146) 1 2 3 4 5 6 ▶
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 2 楼站着沙发!!!学习.... 2009-11-12 16:52 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 3 楼板凳，沒看到靜態還原的代碼 2009-11-12 16:53 0
TSobo 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 1 关注私信	TSobo 4 楼强大，学习 2009-11-12 16:54 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 5 楼强大，学习PPT 2009-11-12 17:04 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 6 楼膜拜下，不懂～ 2009-11-12 17:07 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 7 楼正在学习VM，谢谢楼主的分享 2009-11-12 17:25 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼强帖留名~~ 2009-11-12 17:46 0
StarsunYzL 雪币： 424 活跃值： (1874) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 9 楼强大，VMP和TMD/WL越来越流行了，人人都去搞 2009-11-12 17:52 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 10 楼概括性比较强，但不适合新人学习 2009-11-12 18:02 0
lcjoo 雪币： 262 活跃值： (36) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	lcjoo 3 11 楼占领第一页学习 2009-11-12 18:11 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 12 楼膜拜楼主大牛啊！！！！ 2009-11-12 18:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼 654321 2009-11-12 18:19 0
daohaodaye 雪币： 999 活跃值： (1191) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 103 粉丝 3 关注私信	daohaodaye 14 楼谢谢楼主分享，下载学习 2009-11-12 18:34 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 15 楼来看看爆了什么猛料。。。。。。。。。。。。。。。。。 2009-11-12 18:43 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 16 楼早就有耳闻bughoho大牛能完全还原..... 强悍。。。学习学习。。。 2009-11-12 19:05 0
hmilywen 雪币： 1485 活跃值： (884) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 17 楼终于看到bughoho帅哥了~ 2009-11-12 19:11 0
Ivanlife 雪币： 146 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 18 楼 Thx NIUe 2009-11-12 19:16 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 19 楼 BUG hou yi hou LMZ dou yi dou 2009-11-12 19:32 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 20 楼多谢楼主，看了一下，发现有些东西和我理解的不一样，拿出来讨论一下。我不知道教程里的VMP是什么版本，我这里的是1.8 首先是我认为VMP里面的寄存器不是轮转，而是随机。在一些状态下，追踪寄存器是很困难的。我用一条MOV EAX,11111111指令来测试VMP，我观察到的数据如下初始状态 EAX=0，出口时EAX=11111111 9 VMP_MOVIN_REG REG_28 (0x0) VMP保存现场时把EAX放到了REG_28 因为REG_28保存着EAX,因此REG_28不能使用 229 VMP_AND_DWORD 0xFF1BDBF9 , 0x11111111 (0x11111111 eflags=0x00000206) 230 VMP_MOVIN_REG REG_30 (0x00000206) 231 VMP_MOVIN_REG REG_30 (0x11111111) 解密后EAX变成了REG_30,在VMP的编译阶段，原来的EAX已经丢弃了。根据楼主的教程,就算已经识别了指令,那么现在的EAX是多少呢?? 262 VMP_SHR_BYTE 0x44 , 0x44 (0x4 eflags=0x00000212) 263 VMP_MOVIN_REG REG_28 (0x00000212) 好了,到了263时,原来的EAX被用来做花了。 624 VMP_MOVOUT_REG REG_30 (0x11111111) 出口，恢复EAX 这里的REG_30和REG_28根本不存在映射的关系，我认为REG_30是完全随机的。这是因为MOV指令很特别，这条指令更新了寄存器的状态，使其与以前的状态没有任何关系。另外，18页那里写静态分析VMP_JMP，这里的跳转地址应该要事先追踪出来吧。跳过指令分析的话，这里好像也会出问题，据我观察，这条指令是VMP唯一一条跨虚拟机的指令，在多指令表的情况下，分析器也应该要切换指令表。 2009-11-12 19:44 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 21 楼同问。。。- -!``我也是分析到最后的实际操作eax的虚拟指令就傻了... 2009-11-12 20:06 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 22 楼我认为VM里没所谓相对的寄存器观念只有等到最后要离开时的 pop 才决定了我们熟知的寄存器观念. 无寄存器观念就无所谓的轮不轮随不随了. 若硬要将2者牵条红线, 过于免强. 那里讲的是虚拟执行. 2009-11-12 20:07 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 23 楼虚拟机模拟的是真实的CPU,CPU的寄存器状态必定会出现在虚拟机的内存中,在一般的情况下,可以通过追踪CPU的寄存器来识别指令,不能识别寄存器的状态是很难区分真实的指令和垃圾指令的。关于第二点，我知道是虚拟执行。在17页，楼主教程里说操作数的值不可靠，这应该是说这个并不是完全的虚拟执行。就像 JMP ??????? 这样的指令，光知道是JMP并没有用，不知道跳转的地址就没有办法进行历遍。而且VMP的JMP指令在修改了esi后，有可能切换指令表和解密算法，这时如果没有自动的指令识别就会很麻烦。 2009-11-12 20:53 0
Sam.com 雪币： 12688 活跃值： (4294) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 100 粉丝 1 关注私信	Sam.com 24 楼谢谢分享~~下来学习下 2009-11-12 21:00 0
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 25 楼劲爆123456 2009-11-12 21:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Bughoho

发帖

1217

回帖

330

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (146) 1 2 3 4 5 6 ▶
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 412 粉丝 0 关注私信	dreamzgj 2 2 楼站着沙发!!!学习.... 2009-11-12 16:52 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 3 楼板凳，沒看到靜態還原的代碼 2009-11-12 16:53 0
TSobo 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 1 关注私信	TSobo 4 楼强大，学习 2009-11-12 16:54 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 5 楼强大，学习PPT 2009-11-12 17:04 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 6 楼膜拜下，不懂～ 2009-11-12 17:07 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 7 楼正在学习VM，谢谢楼主的分享 2009-11-12 17:25 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼强帖留名~~ 2009-11-12 17:46 0
StarsunYzL 雪币： 424 活跃值： (1874) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 9 楼强大，VMP和TMD/WL越来越流行了，人人都去搞 2009-11-12 17:52 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 10 楼概括性比较强，但不适合新人学习 2009-11-12 18:02 0
lcjoo 雪币： 262 活跃值： (36) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	lcjoo 3 11 楼占领第一页学习 2009-11-12 18:11 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 12 楼膜拜楼主大牛啊！！！！ 2009-11-12 18:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼 654321 2009-11-12 18:19 0
daohaodaye 雪币： 999 活跃值： (1191) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 103 粉丝 3 关注私信	daohaodaye 14 楼谢谢楼主分享，下载学习 2009-11-12 18:34 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 15 楼来看看爆了什么猛料。。。。。。。。。。。。。。。。。 2009-11-12 18:43 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 16 楼早就有耳闻bughoho大牛能完全还原..... 强悍。。。学习学习。。。 2009-11-12 19:05 0
hmilywen 雪币： 1485 活跃值： (884) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 17 楼终于看到bughoho帅哥了~ 2009-11-12 19:11 0
Ivanlife 雪币： 146 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 18 楼 Thx NIUe 2009-11-12 19:16 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 19 楼 BUG hou yi hou LMZ dou yi dou 2009-11-12 19:32 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 20 楼多谢楼主，看了一下，发现有些东西和我理解的不一样，拿出来讨论一下。我不知道教程里的VMP是什么版本，我这里的是1.8 首先是我认为VMP里面的寄存器不是轮转，而是随机。在一些状态下，追踪寄存器是很困难的。我用一条MOV EAX,11111111指令来测试VMP，我观察到的数据如下初始状态 EAX=0，出口时EAX=11111111 9 VMP_MOVIN_REG REG_28 (0x0) VMP保存现场时把EAX放到了REG_28 因为REG_28保存着EAX,因此REG_28不能使用 229 VMP_AND_DWORD 0xFF1BDBF9 , 0x11111111 (0x11111111 eflags=0x00000206) 230 VMP_MOVIN_REG REG_30 (0x00000206) 231 VMP_MOVIN_REG REG_30 (0x11111111) 解密后EAX变成了REG_30,在VMP的编译阶段，原来的EAX已经丢弃了。根据楼主的教程,就算已经识别了指令,那么现在的EAX是多少呢?? 262 VMP_SHR_BYTE 0x44 , 0x44 (0x4 eflags=0x00000212) 263 VMP_MOVIN_REG REG_28 (0x00000212) 好了,到了263时,原来的EAX被用来做花了。 624 VMP_MOVOUT_REG REG_30 (0x11111111) 出口，恢复EAX 这里的REG_30和REG_28根本不存在映射的关系，我认为REG_30是完全随机的。这是因为MOV指令很特别，这条指令更新了寄存器的状态，使其与以前的状态没有任何关系。另外，18页那里写静态分析VMP_JMP，这里的跳转地址应该要事先追踪出来吧。跳过指令分析的话，这里好像也会出问题，据我观察，这条指令是VMP唯一一条跨虚拟机的指令，在多指令表的情况下，分析器也应该要切换指令表。 2009-11-12 19:44 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 21 楼同问。。。- -!``我也是分析到最后的实际操作eax的虚拟指令就傻了... 2009-11-12 20:06 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 22 楼我认为VM里没所谓相对的寄存器观念只有等到最后要离开时的 pop 才决定了我们熟知的寄存器观念. 无寄存器观念就无所谓的轮不轮随不随了. 若硬要将2者牵条红线, 过于免强. 那里讲的是虚拟执行. 2009-11-12 20:07 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 23 楼虚拟机模拟的是真实的CPU,CPU的寄存器状态必定会出现在虚拟机的内存中,在一般的情况下,可以通过追踪CPU的寄存器来识别指令,不能识别寄存器的状态是很难区分真实的指令和垃圾指令的。关于第二点，我知道是虚拟执行。在17页，楼主教程里说操作数的值不可靠，这应该是说这个并不是完全的虚拟执行。就像 JMP ??????? 这样的指令，光知道是JMP并没有用，不知道跳转的地址就没有办法进行历遍。而且VMP的JMP指令在修改了esi后，有可能切换指令表和解密算法，这时如果没有自动的指令识别就会很麻烦。 2009-11-12 20:53 0
Sam.com 雪币： 12688 活跃值： (4294) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 100 粉丝 1 关注私信	Sam.com 24 楼谢谢分享~~下来学习下 2009-11-12 21:00 0
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 25 楼劲爆123456 2009-11-12 21:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复