[原创]VMProtect代码还原技术-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMProtect代码还原技术

发表于: 2010-12-5 01:50 63424

[原创]VMProtect代码还原技术

accessd

2010-12-5 01:50

63424

最近逛看雪比较多，发现大家对VMProtect这个壳比较害怕，所以找了个最新的版本分析了一下，发现他有很多垃圾指令，并且还使用了虚拟机保护，而且每个被他加壳后的程序，虚拟机的代码好像还不一样。如果要做VMProtect的自动脱壳机，应该是要先去掉垃圾指令，再重组指令，再自动识别虚拟机指令的含义，最后重组虚拟机代码，还原出加壳前的EXE。
看了一下VMProtect的垃圾花指令，其实是很有规律的，主要就是在某一条指令前加上多条无效指令，例如下面这条指令：
      mov eax, ebx
VMProtect可能会在这条指令前面加上这些无效指令：
   mov al, cl
   sete eax
因此，根据最后一条指令是很容易识别出前面的垃圾指令的。

折腾了一个下午，写了个花指令去除程序（离自动脱壳还很远，不过如果只是要调试的话应该很容易了）。
基本原理如下：

1.从指定位置或当前eip处开始读取BB块（如果遇到e8，e9跳转就相应的转到目标地址继续读取），生成指令描述表
2.第1次扫描指令描述表识别clc、stc、cmc无效指令
3.第2次扫描指令描述表识别test、cmp无效指令
4.第3次倒着扫描指令描述表，识别赋值、运算等无效指令
5.扫描push、pop指令

看一下运行效果：
取虚拟机指令的代码：

还原后的效果：

再找一个虚拟机指令处理代码：

还原后的效果：

登录后可查看完整内容

[注意]APP应用上架合规检测服务，协助应用顺利上架！

#调试逆向

上传的附件：

1.jpg （112.90kb，3394次下载）
2.jpg （92.22kb，3375次下载）
3.jpg （119.53kb，3377次下载）
4.jpg （75.54kb，3370次下载）

收藏・53

免费・8

支持

最新回复 (86) 1 2 3 4 ▶
CamelLu 雪币： 391 活跃值： (135) 能力值： ( LV2，RANK：140 ) 在线值：发帖 26 回帖 220 粉丝 0 关注私信	CamelLu 3 2 楼在手机上看不清楚图，明天再看 2010-12-5 02:03 0
loqich 雪币： 952 活跃值： (1986) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 3 楼强大...........55555但是没下载 2010-12-5 02:32 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 4 楼好生强大的东西 2010-12-5 02:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 240 关注私信	cvcvxk 10 5 楼发图不发bin的啊~ 2010-12-5 03:33 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 6 楼太给力了。。。 2010-12-5 05:17 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 7 楼写个全自动还原吧 2010-12-5 07:25 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 8 楼发图不发bin,菊花万人进~ 2010-12-5 07:38 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 9 楼这。。。暂时还不懂，纯顶 2010-12-5 08:50 0
小菜鸟一雪币： 1333 活跃值： (4402) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 10 楼顶，等还原机 2010-12-5 09:24 0
whydbg 雪币： 1432 活跃值： (3142) 能力值： ( LV9，RANK：156 ) 在线值：发帖 0 回帖 104 粉丝 1 关注私信	whydbg 11 楼期待vmp插件。 2010-12-5 09:40 0
资本雪币： 249 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	资本 12 楼神马,太给力了。 2010-12-5 09:50 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 13 楼很强大。。如果说一下识别思路就更给力了。 2010-12-5 09:55 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 14 楼看不清图，马克下 2010-12-5 10:33 0
smokewind 雪币： 65 活跃值： (118) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 93 粉丝 5 关注私信	smokewind 1 15 楼期待楼主的vmp插件~ 2010-12-5 10:37 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 16 楼 hoho，这个不错~膜拜一下~ 2010-12-5 11:18 0
西风X 雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	西风X 17 楼特征码提取器，我都是手工提的，难怪不准确 2010-12-5 12:23 0
笑熬浆糊雪币： 468 活跃值： (1032) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 230 粉丝 4 关注私信	笑熬浆糊 2 18 楼猛　支持开源 2010-12-5 12:29 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 19 楼这个是代码还原？？？如果说去花我承认还不错，PATCH 应该把识别指令相连，而 NOP 和拼，那样才有价值 2010-12-5 13:17 0
ximo 雪币： 611 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	ximo 20 楼等楼主的自动还原器。 2010-12-5 13:25 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 21 楼 key observations: 1.for each handler, livein(eax(key1/opcode),ebx(key2),ebp(vmStack),edi(vmContext),esi(vmOpcode) liveout(ebx(key2),ebp(vmStack),edi(vmContext),esi(vmOpcode)) 2.all conditional jumps can be reduced, except for one, which is vmStack overflow check. 3.special handlers for decoding/decrypting/unpacking, for performance reasons. 4.not not and. 5.anything else? 2010-12-5 13:35 0
grave 雪币： 55 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	grave 22 楼马克了先~各种学习.. 2010-12-5 13:36 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 23 楼这个是第一步，昨天晚上太晚了，没有接下去做了 2010-12-5 13:51 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 24 楼这是什么?能不能详细些？ 2010-12-5 13:54 0
寒轩雪币： 212 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	寒轩 25 楼强大，期待完善 2010-12-5 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

accessd

发帖

311

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (86) 1 2 3 4 ▶
CamelLu 雪币： 391 活跃值： (135) 能力值： ( LV2，RANK：140 ) 在线值：发帖 26 回帖 220 粉丝 0 关注私信	CamelLu 3 2 楼在手机上看不清楚图，明天再看 2010-12-5 02:03 0
loqich 雪币： 952 活跃值： (1986) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 3 楼强大...........55555但是没下载 2010-12-5 02:32 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 4 楼好生强大的东西 2010-12-5 02:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 240 关注私信	cvcvxk 10 5 楼发图不发bin的啊~ 2010-12-5 03:33 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 6 楼太给力了。。。 2010-12-5 05:17 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 7 楼写个全自动还原吧 2010-12-5 07:25 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 8 楼发图不发bin,菊花万人进~ 2010-12-5 07:38 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 9 楼这。。。暂时还不懂，纯顶 2010-12-5 08:50 0
小菜鸟一雪币： 1333 活跃值： (4402) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 10 楼顶，等还原机 2010-12-5 09:24 0
whydbg 雪币： 1432 活跃值： (3142) 能力值： ( LV9，RANK：156 ) 在线值：发帖 0 回帖 104 粉丝 1 关注私信	whydbg 11 楼期待vmp插件。 2010-12-5 09:40 0
资本雪币： 249 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	资本 12 楼神马,太给力了。 2010-12-5 09:50 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 13 楼很强大。。如果说一下识别思路就更给力了。 2010-12-5 09:55 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 14 楼看不清图，马克下 2010-12-5 10:33 0
smokewind 雪币： 65 活跃值： (118) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 93 粉丝 5 关注私信	smokewind 1 15 楼期待楼主的vmp插件~ 2010-12-5 10:37 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 16 楼 hoho，这个不错~膜拜一下~ 2010-12-5 11:18 0
西风X 雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	西风X 17 楼特征码提取器，我都是手工提的，难怪不准确 2010-12-5 12:23 0
笑熬浆糊雪币： 468 活跃值： (1032) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 230 粉丝 4 关注私信	笑熬浆糊 2 18 楼猛　支持开源 2010-12-5 12:29 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 19 楼这个是代码还原？？？如果说去花我承认还不错，PATCH 应该把识别指令相连，而 NOP 和拼，那样才有价值 2010-12-5 13:17 0
ximo 雪币： 611 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	ximo 20 楼等楼主的自动还原器。 2010-12-5 13:25 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 21 楼 key observations: 1.for each handler, livein(eax(key1/opcode),ebx(key2),ebp(vmStack),edi(vmContext),esi(vmOpcode) liveout(ebx(key2),ebp(vmStack),edi(vmContext),esi(vmOpcode)) 2.all conditional jumps can be reduced, except for one, which is vmStack overflow check. 3.special handlers for decoding/decrypting/unpacking, for performance reasons. 4.not not and. 5.anything else? 2010-12-5 13:35 0
grave 雪币： 55 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	grave 22 楼马克了先~各种学习.. 2010-12-5 13:36 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 23 楼这个是第一步，昨天晚上太晚了，没有接下去做了 2010-12-5 13:51 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 24 楼这是什么?能不能详细些？ 2010-12-5 13:54 0
寒轩雪币： 212 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	寒轩 25 楼强大，期待完善 2010-12-5 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复