[原创]腾讯技术竞赛第二阶段第一题虚拟机分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]腾讯技术竞赛第二阶段第一题虚拟机分析

发表于: 2010-11-1 12:05 8158

[原创]腾讯技术竞赛第二阶段第一题虚拟机分析

SJQIANG

2010-11-1 12:05

8158

『深圳腾讯2010安全技术竞赛』第二阶段第一题是一道虚拟机相关的题目。由于自己之前只接触过一些概念相关的知识，最多看过VMP虚拟化单句代码的效果，再复杂就搞不来了，所以想借此机会加深下对虚拟机的理解。在此把自己的分析过程整理出来，望高手指教。

废话结束，下面进入正题。

刚看了题目要求之后，并不知道程序中有虚拟机。挂上OD断到程序映射文件完毕，开始分析。

004010FE   .  837D D0 00    cmp     dword ptr [ebp-30], 0
00401102   .  0F84 B3000000 je      004011BB
00401108   .  8B4D E4       mov     ecx, dword ptr [ebp-1C]
0040110B   .  8139 54455354 cmp     dword ptr [ecx], 54534554
00401111   .  0F85 A4000000 jnz     004011BB

00401F44  |.  B8 10134000   mov     eax, 00401310                 
00401F49  |.  870424        xchg    dword ptr [esp], eax
00401F4C  \.  C3            retn

00401310      60            pushad
00401311      9C            pushfd
00401312      8B5424 24     mov     edx, dword ptr [esp+24]
00401316      8BC2          mov     eax, edx
00401318      05 94000000   add     eax, 94
0040131D      8038 01       cmp     byte ptr [eax], 1
00401320      74 21         je      short 00401343
00401322      8B5424 24     mov     edx, dword ptr [esp+24]
00401326      8BC2          mov     eax, edx
00401328      05 A4000000   add     eax, 0A4
0040132D      50            push    eax
0040132E      83E8 0C       sub     eax, 0C
00401331      8B00          mov     eax, dword ptr [eax]
00401333      FFD0          call    eax
00401335      8B5424 24     mov     edx, dword ptr [esp+24]
00401339      8BC2          mov     eax, edx
0040133B      05 94000000   add     eax, 94
00401340      C600 01       mov     byte ptr [eax], 1
00401343      8B5424 24     mov     edx, dword ptr [esp+24]
00401347      8BC2          mov     eax, edx
00401349      05 A4000000   add     eax, 0A4
0040134E      50            push    eax
0040134F      83E8 08       sub     eax, 8
00401352      8B00          mov     eax, dword ptr [eax]
00401354      FFD0          call    eax
00401356      8BF4          mov     esi, esp
00401358      B9 09000000   mov     ecx, 9
0040135D      8B7C24 24     mov     edi, dword ptr [esp+24]
00401361      F3:A5         rep     movs dword ptr es:[edi], dword p>
00401363      9D            popfd
00401364      61            popad
00401365      58            pop     eax
00401366      8BC8          mov     ecx, eax
00401368      05 C4000000   add     eax, 0C4
0040136D      8B00          mov     eax, dword ptr [eax]
0040136F      8BE0          mov     esp, eax
00401371      51            push    ecx
00401372      E8 E9FEFFFF   call    00401260

004012E0  |>  8B46 68       /mov     eax, dword ptr [esi+68]
004012E3  |. |0FB608        |movzx   ecx, byte ptr [eax]
004012E6  |. |8B148D D0D840>|mov     edx, dword ptr [ecx*4+40D8D0]
004012ED  |. |56            |push    esi
004012EE  |. |FFD2          |call    edx
004012F0  |. |8346 68 10    |add     dword ptr [esi+68], 10
004012F4  |. |397E 68       |cmp     dword ptr [esi+68], edi
004012F7  |.^\72 E7         \jb      short 004012E0

0040D8D0  80 13 40 00 C0 13 40 00 D0 13 40 00 E0 13 40 00  €@.?@.?@.?@.
0040D8E0  30 14 40 00 80 14 40 00 D0 14 40 00 20 15 40 00  0@.€@.?@. @.
0040D8F0  80 15 40 00 E0 15 40 00 F0 15 40 00 00 16 40 00  €@.?@.?@..@.
0040D900  40 16 40 00 90 16 40 00 20 17 40 00 80 17 40 00  @@.?@. @.€@.
0040D910  F0 17 40 00 60 18 40 00 20 19 40 00 E0 19 40 00  ?@.`@. @.?@.
0040D920  40 1A 40 00 F0 1A 40 00 A0 1B 40 00 50 1C 40 00  @@.?@.?@.P@.
0040D930  F0 1C 40 00 A0 1D 40 00 50 1E 40 00 50 1E 40 00  ?@.?@.P@.P@.
0040D940  00 1F 40 00 00 1F 40 00                          .@..@.

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・1

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-5-31 04:20

伟叔叔

为你点赞~

2024-2-28 00:24

QinBeast

为你点赞~

2024-1-18 05:30

心游尘世外

为你点赞~

2024-1-14 03:44

shinratensei

为你点赞~

2024-1-14 00:45

飘零丶

为你点赞~

2023-12-29 00:43

PLEBFE

为你点赞~

2023-3-15 04:31

最新回复 (7)
exile 雪币： 2105 活跃值： (594) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼人家延长时间　你就发了答案　太给力了 2010-11-1 12:08 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 3 楼呵呵……笑而不语…… 2010-11-1 12:10 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 108 关注私信	ccfer 16 4 楼 1号函数取出标志寄存器,相当于pushad 2号函数存入标志寄存器,相当于popad 对照着纯正的CRC算法一看,这里不是应该是与运算吗？这几句貌似说的不对标志寄存器的操作应该pushfd/popfd 纯正的CRC算法那里也不应该是“与运算”吧 2010-11-1 12:57 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 5 楼谢谢指点,写错了,那个于运算我再看看，但是我把它改成于就可以了啊 2010-11-1 13:00 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 6 楼多谢ccfer指点，是我看走眼了,应该是异或运算。已修正。 2010-11-1 13:16 0
profmit 雪币： 160 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 7 楼看了一下午~好像看明白一点了~ 2010-11-1 18:06 0
frozenrain 雪币： 107 活跃值： (2072) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 516 粉丝 1 关注私信	frozenrain 8 楼第2问，没明白出题者的意思，不知道这个要校验字符有多长，4G以内？觉得对于编译好的VM指令，要改也是小改动。 2010-11-1 19:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

SJQIANG

发帖

231

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
exile 雪币： 2105 活跃值： (594) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼人家延长时间　你就发了答案　太给力了 2010-11-1 12:08 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 3 楼呵呵……笑而不语…… 2010-11-1 12:10 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 108 关注私信	ccfer 16 4 楼 1号函数取出标志寄存器,相当于pushad 2号函数存入标志寄存器,相当于popad 对照着纯正的CRC算法一看,这里不是应该是与运算吗？这几句貌似说的不对标志寄存器的操作应该pushfd/popfd 纯正的CRC算法那里也不应该是“与运算”吧 2010-11-1 12:57 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 5 楼谢谢指点,写错了,那个于运算我再看看，但是我把它改成于就可以了啊 2010-11-1 13:00 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 6 楼多谢ccfer指点，是我看走眼了,应该是异或运算。已修正。 2010-11-1 13:16 0
profmit 雪币： 160 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 7 楼看了一下午~好像看明白一点了~ 2010-11-1 18:06 0
frozenrain 雪币： 107 活跃值： (2072) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 516 粉丝 1 关注私信	frozenrain 8 楼第2问，没明白出题者的意思，不知道这个要校验字符有多长，4G以内？觉得对于编译好的VM指令，要改也是小改动。 2010-11-1 19:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]腾讯技术竞赛第二阶段第一题虚拟机分析

账号登录 验证码登录

账号登录

验证码登录