0041A677 MOV EBX,DWORD PTR [EBP+0x8] //读取opcode 指针
0041A679 ADD EBX,0x9 //opcode指针加上偏移
0041A67F MOVZX ECX,BYTE PTR [EBX] //读取BYTE 位的opcode ,这里我们暂且称之为参数A
0041A682 OR DWORD PTR [EBP+0x8f],0x5df470f2
0041A690 ADD ECX,DWORD PTR [EBP+0x53]
0041A69A ADD ECX,DWORD PTR [EBP+0xa7]
0041A6A4 ADD ECX,DWORD PTR [EBP+0x68]
0041A6AE OR DWORD PTR [EBP+0x53],ECX //利用读取的Opcode对加密寄存器再加密
0041A6B8 OR DWORD PTR [EBP+0xa7],0x2a3b9783
0041A6C6 SUB ECX,DWORD PTR [EBP+0x89] //解密读取的Opcode 参数A
0041A6D0 OR DWORD PTR [EBP+0x89],0x5570350f
0041A6DE SUB BYTE PTR [EBP+0x57],CL//这里对参数A进行加密保存
//-------分割线---（以下代码都是连续的，我人为的分开是方便大家阅读）-----------------------------
0041A6EE MOV ESI,DWORD PTR [EBP+0x8] //读取opcode 指针
0041A6F9 ADD ESI,0xa //opcode指针加上偏移
注：Opcode指令序列可以由不同的几个部分组成的，包括subhandle 立即数虚拟寄存器号参数大小的控制参数等，长度是可变的，但具体到哪个偏移量存放那种参数却不一定，完全由handler决定
0041A6FF MOVZX EAX,BYTE PTR [ESI] //读取BYTE 位的opcode ,这里我们暂且称之为参数B
0041A71E SUB EAX,DWORD PTR [EBP+0x53]
0041A751 XOR EAX,DWORD PTR [EBP+0xa7]
0041A785 OR DWORD PTR [EBP+0x53],EAX //利用读取的Opcode对加密寄存器再加密
0041A7A7 ADD DWORD PTR [EBP+0xa7],0x1b9bae7c
0041A7CA SUB EAX,DWORD PTR [EBP+0x89]
0041A7EC XOR DWORD PTR [EBP+0x89],0x257e4392
0041A7F2 MOV DL,AL
0041A7F8 AND AL,0xf0//下面两个指令，分别获取参数B的高地位
0041A7FC AND DL,0xf
0041A7FF ADD DL,0x55//对指令B高地位分别加密
0041A81B SHR AL,0x4
0041A824 XOR AL,0x71
0041A851 MOV BYTE PTR [EBP+0x4c],AL//这两个指令保存指令到VMcontext
0041A873 MOV BYTE PTR [EBP+0x70],DL//注意，没有两个相同的handler这里是一样的，也就是说，具体临时变量保存在VMcontext哪里，要依据handler来定
//-------分割线---（以下代码都是连续的，我人为的分开是方便大家阅读）-----------------------------
0041A893 MOV EDX,DWORD PTR [EBP+0x8] //读取opcode 指针
0041A895 ADD EDX,0x2 //opcode指针加上偏移
0041A8AC MOV EBX,DWORD PTR [EDX]//读取参数C
0041A8D6 XOR EBX,DWORD PTR [EBP+0x53]
0041A8F0 XOR EBX,DWORD PTR [EBP+0x14]
0041A929 OR DWORD PTR [EBP+0x53],EBX
0041A93B AND DWORD PTR [EBP+0xa7],0x7f25fef3
0041A972 ADD EBX,DWORD PTR [EBP+0x89]
0041A99A OR DWORD PTR [EBP+0x89],0x231e01c4
0041A9B7 XOR EBX,0x8f063b2
0041A9F7 ADD EBX,DWORD PTR [EBP+0x60]
0041AA13 MOV DWORD PTR [EBP+0x26],EBX
//-------分割线---（以下代码都是连续的，我人为的分开是方便大家阅读）-----------------------------
0041AA45 MOV AL,BYTE PTR [EBP+0x4c] 读取参数B的高位
0041AA47 XOR AL,0x71 //简单的解密，对应前面0041A824的代码可见
0041AA49 CMP AL,0x2 //从这里开始，可以看出参数B是一个flag，他的高位控制后面的操作数是什么类型的，2为虚拟地址，1为虚拟寄存器，3为立即数（由于type1 handler中不需要立即数，所以你们不会在后面看到相应的例程）
0041AA4B JNZ 0x1d0(0041AC21)
0041AA72 MOV ECX,DWORD PTR [EBP+0x26]//读取参数C,如果参数B高位是2,参数C就是虚拟地址的偏移
0041AAA6 SUB ECX,DWORD PTR [EBP+0x60]
0041AAB2 XOR ECX,0x8f063b2
0041AABC AND ECX,0xffff
0041AAC9 ADD ECX,EBP
0041AAF5 MOV DL,BYTE PTR [EBP+0x70]//取出参数B的低位
0041AB0C SUB DL,0x55//简单的解密
0041AB1F MOV ECX,DWORD PTR [ECX]
0041AB21 MOV EAX,ECX
0041AB23 ADD EAX,0xbdc57aa
0041AB4B MOV DWORD PTR [EBP+0x4],EAX
0041AB4D CMP DL,0x1 //显然这是一个读取虚拟寄存器的例程，参数B的低位用来控制读取的大小
0041AB50 JNZ 0x12(0041AB68)
0041AB5A MOV CL,BYTE PTR [ECX]
0041AB68 CMP DL,0x2
0041AB6B JNZ 0x9(0041AB7A)
0041AB77 MOV CX,WORD PTR [ECX]
0041AB7A CMP DL,0x3
0041AB7D JNZ 0x1b(0041AB9E)
0041AB89 MOV ECX,DWORD PTR [ECX]
0041ABB7 XOR ECX,0x8f063b2
0041ABF2 ADD ECX,DWORD PTR [EBP+0x60]
0041AC19 MOV DWORD PTR [EBP+0x26],ECX//把从虚拟寄存器中读取到的数值保存
0041AC30 AND DWORD PTR [EBP+0x68],0x1a49977a
0041AC38 MOV BYTE PTR [EBP+0x47],0x0
0041AC43 MOV DL,BYTE PTR [EBP+0x4c]
0041AC45 XOR DL,0x71
0041AC48 CMP DL,0x1
0041AC4B JNZ 0x50(0041ACA1)//如果参数B的高位是1的话，就是对虚拟寄存器的读取
0041AC59 MOV ECX,DWORD PTR [EBP+0x26]//读取参数C
0041AC63 SUB ECX,DWORD PTR [EBP+0x60]
0041AC65 XOR ECX,0x8f063b2
0041AC6B AND ECX,0xffff
0041AC71 ADD ECX,EBP
0041AC73 MOV EDX,ECX
0041AC75 ADD ECX,0xbdc57aa
0041AC83 MOV DWORD PTR [EBP+0x4],ECX//读取的地址后面还要用到，所以先加密保存
0041AC85 MOV ECX,DWORD PTR [EDX]//读取地址中的数值
0041AC87 XOR ECX,0x8f063b2
0041AC95 ADD ECX,DWORD PTR [EBP+0x60]
0041AC9F MOV DWORD PTR [EBP+0x26],ECX//保存地址中的数值
0041ACA9 SUB DWORD PTR [EBP+0x8f],0x18830b95
0041ACB7 OR DWORD PTR [EBP+0x8f],0x2223c95f
//-------分割线---（以下代码都是连续的，我人为的分开是方便大家阅读）-----------------------------
0041ACC5 MOV BL,BYTE PTR [EBP+0x57]//读取参数A
0041ACC7 SUB BL,0xb2
0041ACCA CMP BL,0x72//好了，我们可以确定参数A就是subhandle了,如果subhandle是0x72，那么就是DEC的操作
0041ACCD JNZ 0x2a(0041ACFD)
0041ACDB MOV EAX,DWORD PTR [EBP+0x26]
0041ACE5 SUB EAX,DWORD PTR [EBP+0x60]
0041ACE7 XOR EAX,0x8f063b2
0041ACEC DEC EAX
0041ACED PUSHFD
0041ACEE ADD EAX,0x5d85656d
0041ACFB MOV DWORD PTR [EBP+0x7f],EAX//保存计算后的结果
0041AD17 MOV DL,BYTE PTR [EBP+0x57]
0041AD1B SUB DL,0xb2
0041AD1E CMP DL,0x96 //如果subhandle是96，就进行NEG操作
0041AD21 JNZ 0x94(0041ADBB)
0041AD55 MOV EDX,DWORD PTR [EBP+0x26]
0041AD78 SUB EDX,DWORD PTR [EBP+0x60]
0041AD8C XOR EDX,0x8f063b2
0041AD92 NEG EDX
0041AD94 PUSHFD
0041AD95 ADD EDX,0x5d85656d
0041ADA9 MOV DWORD PTR [EBP+0x7f],EDX
0041ADF5 MOV AL,BYTE PTR [EBP+0x57]
0041AE04 SUB AL,0xb2
0041AE06 CMP AL,0x39 同上，这里是NOT
0041AE08 JNZ 0x9a(0041AEA8)
0041AE32 MOV EBX,DWORD PTR [EBP+0x26]
0041AE5D SUB EBX,DWORD PTR [EBP+0x60]
0041AE65 XOR EBX,0x8f063b2
0041AE6B NOT EBX
0041AE6D CMP ECX,EDX
0041AE6F PUSHFD
0041AE72 ADD EBX,0x5d85656d
0041AEA6 MOV DWORD PTR [EBP+0x7f],EBX
0041AEBD SUB DWORD PTR [EBP+0x53],0x47572fe7
0041AEBF MOV CL,BYTE PTR [EBP+0x57]
0041AEC3 SUB CL,0xb2
0041AEC6 CMP CL,0x41 //下面的我就不一一说明了，大家自己看看，看看能不能找到是什么操作
0041AEC9 JNZ 0x2c(0041AEFB)
0041AED7 MOV ESI,DWORD PTR [EBP+0x26]
0041AEE1 SUB ESI,DWORD PTR [EBP+0x60]
0041AEE3 XOR ESI,0x8f063b2
0041AEE9 INC ESI
0041AEEA PUSHFD
0041AEEB ADD ESI,0x5d85656d
0041AEF9 MOV DWORD PTR [EBP+0x7f],ESI
0041AF01 AND DWORD PTR [EBP+0x14],0x47572fe7
0041AF2B MOV BL,BYTE PTR [EBP+0x57]
0041AF32 SUB BL,0xb2
0041AF35 CMP BL,0xc1
0041AF38 JE 0x165(0041B0A3)
0041AF3E CMP BL,0x6
0041AF41 JE 0x15c(0041B0A3)
0041AF8A MOV DL,BYTE PTR [EBP+0x70]//再次读取参数B的低位
0041AF9D MOV EAX,DWORD PTR [EBP+0x4]
0041AFB1 SUB EAX,0xbdc57aa
0041AFCA SUB DL,0x55
0041AFF4 MOV EBX,DWORD PTR [EBP+0x7f]
0041B000 SUB EBX,0x5d85656d
0041B006 CMP DL,0x1//进行大小的判断，下面就是要保存计算结果了
0041B009 JNZ 0xf(0041B01E)
0041B014 MOV BYTE PTR [EAX],BL
0041B01E CMP DL,0x2
0041B021 JNZ 0x7(0041B02E)
0041B029 MOV WORD PTR [EAX],BX
0041B02E CMP DL,0x3
0041B031 JNZ 0x3d(0041B074)
0041B043 MOV DWORD PTR [EAX],EBX
0041B0B6 POP EDX
//-------分割线---（以下代码都是连续的，我人为的分开是方便大家阅读）-----------------------------
//以下这段不经常用到，就是如果opcode中设置另外个flag的话，是可以读取计算中的EFLAGS寄存器的结果的
0041B0C4 MOV ECX,DWORD PTR [EBP+0x8]
0041B0D9 XOR DWORD PTR [EBP+0x53],0x1e4ffb66
0041B10A SUB DWORD PTR [EBP+0xa7],0x1d2ace37
0041B112 ADD ECX,0x6
0041B129 MOVZX ECX,BYTE PTR [ECX]
0041B12C CMP ECX,0x0
0041B132 JE 0x85(0041B1BD)
0041B180 MOV EDI,DWORD PTR [EBP+0x8]
0041B182 ADD EDI,0x0
0041B196 MOV CX,WORD PTR [EDI]
0041B19E ADD ECX,EBP
0041B1AD MOV DWORD PTR [ECX],EDX
//-------分割线---（以下代码都是连续的，我人为的分开是方便大家阅读）-----------------------------
//最后这段，每个handle都会有，就是重新设置opcode的偏移，读取下一个handler号并跳转，大家可以自己阅读一下
0041B1DF MOV EDX,DWORD PTR [EBP+0x8]
0041B1E8 MOV ESI,DWORD PTR [EBP+0x4f]//这里是handler指针表
0041B1EC ADD EDX,0x7
0041B1FA MOVZX EDX,WORD PTR [EDX]
0041B20E ADD EDX,DWORD PTR [EBP+0x53]
0041B242 XOR EDX,0xf833c89
0041B274 XOR DWORD PTR [EBP+0x53],EDX
0041B278 AND EDX,0xffff
0041B280 SHL EDX,0x2
0041B28D ADD ESI,EDX
0041B298 MOV EDI,DWORD PTR [ESI]
0041B2A4 ADD DWORD PTR [EBP+0x8],0xb
0041B2AA JMP EDI

看完这段代码，我想大家也应该对type1 handler有了一个大概了理解，我在这里总结一下
1、 handler 代码通常由读取opcode ，处理opcode ，保存结果和最后的跳转四部分组成。
2、 加密寄存器无时不刻在对opcode 处理过程中的中间数和结果加密，可以说走一步加密一下，直到最后使用这些结果的时候才解密，真是结果出现的时间被竟可能的压缩。而加密寄存器本身也在不断的被加密，所以想要爆破是不可能的。
3、 Opcode指令序列可以由不同的几个部分组成的，包括 handleid subhandle flag 立即数虚拟寄存器号参数大小的控制参数等，长度是可变的，但具体到哪个偏移量存放那种参数却不一定，完全由handler决定，最长应该不超过12位。
4、 Opcode中的flag说明了后面参数的类型和大小。高位控制类型，1为虚拟寄存器，2为虚拟地址，3为立即数。低位控制大小，3为DWORD,2为WORD,1为BYRE。

最后，我们通过阅读一段从OU中截取的type1 handler处理opcode后的中间代码，来对应的比较和学习一下flag的意义。我们从前到后依次分析。

{001B} [00000039-7D54B913-0000001A-00000000-00000000] NOT EBP

1、前面的001B是handler 的ID,也可以说是handler在handler表中的序号。
2、00000039是subhandle ,其实在Opcode中它只占1位。对应前面代码中的0041AE06位置，可以看到，这是个NOT操作。
3、7D54B913这个其实就是flag，我们只需要看最后1位 0x13，高位的1表示操作数是虚拟寄存器,低位的3代表DOWRD。前面的是解密过程中产生的垃圾代码，当然也不能说完全垃圾，他们是还会被用来加密加密寄存器的。
4、0000001A 这个就是虚拟寄存器的代号了，这里的1A代表EBP，你要问这个代号是哪里来的，抱歉，这个是虚拟机生成时随机产生的，不会有两个加密的程序会完全一样。
5、以上合起来就是后面的一个简单的操作，NOT EBP。化简为繁themida是做的很到位的。

到这里，本文的第二部分也差不多结束了，后面其实我还想把VM FISH中最麻烦的关于EFLAGS的操作和处理，连带条件跳转的判断处理一起整理一下，毕竟不把这块说清楚就不算彻底弄明白FISH VM,当然这也不属于初探的范畴了。只可惜笔记时间久远，而且比较分散，可能需要各位耐心等待一段时间，我有时间一定尽快整理发布。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课