[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)

2009-11-12 16:50 90186

[原创]VMProtect的逆向分析和静态还原(2009中国软件安全峰会演讲PPT)

Bughoho

2009-11-12 16:50

90186

123456

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

#VM保护

上传的附件：

VMProtect的逆向分析和静态还原.rar （865.26kb，3306次下载）

收藏・54

点赞・7

打赏

最新回复 (146) 1 2 3 4 5 6 ▶
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 413 粉丝 0 关注私信	dreamzgj 2 2009-11-12 16:52 2 楼 0 站着沙发!!!学习....
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 281 粉丝 1 关注私信	小娃崽 13 2009-11-12 16:53 3 楼 0 板凳，沒看到靜態還原的代碼
TSobo 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 1 关注私信	TSobo 2009-11-12 16:54 4 楼 0 强大，学习
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 566 粉丝 0 关注私信	elance 6 2009-11-12 17:04 5 楼 0 强大，学习PPT
nbw 雪币： 337 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2009-11-12 17:07 6 楼 0 膜拜下，不懂～
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 2009-11-12 17:25 7 楼 0 正在学习VM，谢谢楼主的分享
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-11-12 17:46 8 楼 0 强帖留名~~
StarsunYzL 雪币： 453 活跃值： (1193) 能力值： ( LV3，RANK：30 ) 在线值：发帖 25 回帖 427 粉丝 1 关注私信	StarsunYzL 2009-11-12 17:52 9 楼 0 强大，VMP和TMD/WL越来越流行了，人人都去搞
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 2009-11-12 18:02 10 楼 0 概括性比较强，但不适合新人学习
lcjoo 雪币： 262 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	lcjoo 3 2009-11-12 18:11 11 楼 0 占领第一页学习
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 228 关注私信	riusksk 41 2009-11-12 18:13 12 楼 0 膜拜楼主大牛啊！！！！
sudami 雪币： 709 活跃值： (2240) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2009-11-12 18:19 13 楼 0 654321
daohaodaye 雪币： 3682 活跃值： (931) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 99 粉丝 3 关注私信	daohaodaye 2009-11-12 18:34 14 楼 0 谢谢楼主分享，下载学习
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 2571 粉丝 2 关注私信	yingyue 2009-11-12 18:43 15 楼 0 来看看爆了什么猛料。。。。。。。。。。。。。。。。。
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 2009-11-12 19:05 16 楼 0 早就有耳闻bughoho大牛能完全还原..... 强悍。。。学习学习。。。
hmilywen 雪币： 1379 活跃值： (708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 532 粉丝 5 关注私信	hmilywen 2009-11-12 19:11 17 楼 0 终于看到bughoho帅哥了~
Ivanlife 雪币： 146 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 2009-11-12 19:16 18 楼 0 Thx NIUe
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2009-11-12 19:32 19 楼 0 BUG hou yi hou LMZ dou yi dou
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	aa1ss2 2 2009-11-12 19:44 20 楼 0 多谢楼主，看了一下，发现有些东西和我理解的不一样，拿出来讨论一下。我不知道教程里的VMP是什么版本，我这里的是1.8 首先是我认为VMP里面的寄存器不是轮转，而是随机。在一些状态下，追踪寄存器是很困难的。我用一条MOV EAX,11111111指令来测试VMP，我观察到的数据如下初始状态 EAX=0，出口时EAX=11111111 9 VMP_MOVIN_REG REG_28 (0x0) VMP保存现场时把EAX放到了REG_28 因为REG_28保存着EAX,因此REG_28不能使用 229 VMP_AND_DWORD 0xFF1BDBF9 , 0x11111111 (0x11111111 eflags=0x00000206) 230 VMP_MOVIN_REG REG_30 (0x00000206) 231 VMP_MOVIN_REG REG_30 (0x11111111) 解密后EAX变成了REG_30,在VMP的编译阶段，原来的EAX已经丢弃了。根据楼主的教程,就算已经识别了指令,那么现在的EAX是多少呢?? 262 VMP_SHR_BYTE 0x44 , 0x44 (0x4 eflags=0x00000212) 263 VMP_MOVIN_REG REG_28 (0x00000212) 好了,到了263时,原来的EAX被用来做花了。 624 VMP_MOVOUT_REG REG_30 (0x11111111) 出口，恢复EAX 这里的REG_30和REG_28根本不存在映射的关系，我认为REG_30是完全随机的。这是因为MOV指令很特别，这条指令更新了寄存器的状态，使其与以前的状态没有任何关系。另外，18页那里写静态分析VMP_JMP，这里的跳转地址应该要事先追踪出来吧。跳过指令分析的话，这里好像也会出问题，据我观察，这条指令是VMP唯一一条跨虚拟机的指令，在多指令表的情况下，分析器也应该要切换指令表。
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 2009-11-12 20:06 21 楼 0 同问。。。- -!``我也是分析到最后的实际操作eax的虚拟指令就傻了...
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2009-11-12 20:07 22 楼 0 我认为VM里没所谓相对的寄存器观念只有等到最后要离开时的 pop 才决定了我们熟知的寄存器观念. 无寄存器观念就无所谓的轮不轮随不随了. 若硬要将2者牵条红线, 过于免强. 那里讲的是虚拟执行.
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	aa1ss2 2 2009-11-12 20:53 23 楼 0 虚拟机模拟的是真实的CPU,CPU的寄存器状态必定会出现在虚拟机的内存中,在一般的情况下,可以通过追踪CPU的寄存器来识别指令,不能识别寄存器的状态是很难区分真实的指令和垃圾指令的。关于第二点，我知道是虚拟执行。在17页，楼主教程里说操作数的值不可靠，这应该是说这个并不是完全的虚拟执行。就像 JMP ??????? 这样的指令，光知道是JMP并没有用，不知道跳转的地址就没有办法进行历遍。而且VMP的JMP指令在修改了esi后，有可能切换指令表和解密算法，这时如果没有自动的指令识别就会很麻烦。
Sam.com 雪币： 11743 活跃值： (3357) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	Sam.com 2009-11-12 21:00 24 楼 0 谢谢分享~~下来学习下
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 2009-11-12 21:06 25 楼 0 劲爆123456
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Bughoho

发帖

1191

回帖

330

RANK

关注

私信

他的文章

[原创]各种开源汇编、反汇编引擎的非专业比较

[原创]发个iphone逻辑漏洞

[注意]关于wwtwx的马甲事件与处理

关于我们

联系我们

企业服务

看雪公众号

最新回复 (146) 1 2 3 4 5 6 ▶
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 413 粉丝 0 关注私信	dreamzgj 2 2009-11-12 16:52 2 楼 0 站着沙发!!!学习....
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 281 粉丝 1 关注私信	小娃崽 13 2009-11-12 16:53 3 楼 0 板凳，沒看到靜態還原的代碼
TSobo 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 1 关注私信	TSobo 2009-11-12 16:54 4 楼 0 强大，学习
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 566 粉丝 0 关注私信	elance 6 2009-11-12 17:04 5 楼 0 强大，学习PPT
nbw 雪币： 337 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2009-11-12 17:07 6 楼 0 膜拜下，不懂～
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 2009-11-12 17:25 7 楼 0 正在学习VM，谢谢楼主的分享
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-11-12 17:46 8 楼 0 强帖留名~~
StarsunYzL 雪币： 453 活跃值： (1193) 能力值： ( LV3，RANK：30 ) 在线值：发帖 25 回帖 427 粉丝 1 关注私信	StarsunYzL 2009-11-12 17:52 9 楼 0 强大，VMP和TMD/WL越来越流行了，人人都去搞
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 2009-11-12 18:02 10 楼 0 概括性比较强，但不适合新人学习
lcjoo 雪币： 262 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	lcjoo 3 2009-11-12 18:11 11 楼 0 占领第一页学习
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 228 关注私信	riusksk 41 2009-11-12 18:13 12 楼 0 膜拜楼主大牛啊！！！！
sudami 雪币： 709 活跃值： (2240) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2009-11-12 18:19 13 楼 0 654321
daohaodaye 雪币： 3682 活跃值： (931) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 99 粉丝 3 关注私信	daohaodaye 2009-11-12 18:34 14 楼 0 谢谢楼主分享，下载学习
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 2571 粉丝 2 关注私信	yingyue 2009-11-12 18:43 15 楼 0 来看看爆了什么猛料。。。。。。。。。。。。。。。。。
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 2009-11-12 19:05 16 楼 0 早就有耳闻bughoho大牛能完全还原..... 强悍。。。学习学习。。。
hmilywen 雪币： 1379 活跃值： (708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 532 粉丝 5 关注私信	hmilywen 2009-11-12 19:11 17 楼 0 终于看到bughoho帅哥了~
Ivanlife 雪币： 146 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 2009-11-12 19:16 18 楼 0 Thx NIUe
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2009-11-12 19:32 19 楼 0 BUG hou yi hou LMZ dou yi dou
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	aa1ss2 2 2009-11-12 19:44 20 楼 0 多谢楼主，看了一下，发现有些东西和我理解的不一样，拿出来讨论一下。我不知道教程里的VMP是什么版本，我这里的是1.8 首先是我认为VMP里面的寄存器不是轮转，而是随机。在一些状态下，追踪寄存器是很困难的。我用一条MOV EAX,11111111指令来测试VMP，我观察到的数据如下初始状态 EAX=0，出口时EAX=11111111 9 VMP_MOVIN_REG REG_28 (0x0) VMP保存现场时把EAX放到了REG_28 因为REG_28保存着EAX,因此REG_28不能使用 229 VMP_AND_DWORD 0xFF1BDBF9 , 0x11111111 (0x11111111 eflags=0x00000206) 230 VMP_MOVIN_REG REG_30 (0x00000206) 231 VMP_MOVIN_REG REG_30 (0x11111111) 解密后EAX变成了REG_30,在VMP的编译阶段，原来的EAX已经丢弃了。根据楼主的教程,就算已经识别了指令,那么现在的EAX是多少呢?? 262 VMP_SHR_BYTE 0x44 , 0x44 (0x4 eflags=0x00000212) 263 VMP_MOVIN_REG REG_28 (0x00000212) 好了,到了263时,原来的EAX被用来做花了。 624 VMP_MOVOUT_REG REG_30 (0x11111111) 出口，恢复EAX 这里的REG_30和REG_28根本不存在映射的关系，我认为REG_30是完全随机的。这是因为MOV指令很特别，这条指令更新了寄存器的状态，使其与以前的状态没有任何关系。另外，18页那里写静态分析VMP_JMP，这里的跳转地址应该要事先追踪出来吧。跳过指令分析的话，这里好像也会出问题，据我观察，这条指令是VMP唯一一条跨虚拟机的指令，在多指令表的情况下，分析器也应该要切换指令表。
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 2009-11-12 20:06 21 楼 0 同问。。。- -!``我也是分析到最后的实际操作eax的虚拟指令就傻了...
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2009-11-12 20:07 22 楼 0 我认为VM里没所谓相对的寄存器观念只有等到最后要离开时的 pop 才决定了我们熟知的寄存器观念. 无寄存器观念就无所谓的轮不轮随不随了. 若硬要将2者牵条红线, 过于免强. 那里讲的是虚拟执行.
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	aa1ss2 2 2009-11-12 20:53 23 楼 0 虚拟机模拟的是真实的CPU,CPU的寄存器状态必定会出现在虚拟机的内存中,在一般的情况下,可以通过追踪CPU的寄存器来识别指令,不能识别寄存器的状态是很难区分真实的指令和垃圾指令的。关于第二点，我知道是虚拟执行。在17页，楼主教程里说操作数的值不可靠，这应该是说这个并不是完全的虚拟执行。就像 JMP ??????? 这样的指令，光知道是JMP并没有用，不知道跳转的地址就没有办法进行历遍。而且VMP的JMP指令在修改了esi后，有可能切换指令表和解密算法，这时如果没有自动的指令识别就会很麻烦。
Sam.com 雪币： 11743 活跃值： (3357) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	Sam.com 2009-11-12 21:00 24 楼 0 谢谢分享~~下来学习下
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 2009-11-12 21:06 25 楼 0 劲爆123456
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复