0x00 写在前面
如x86的一条指令如mov eax, [ebp+0x100],转化为VMP伪代码会变成类似如下的代码:
3. VMP版本更新,膨胀规则可能会稍有变化,工具通用性会非常差,必须持续跟踪不同版本。
对于CISC指令集虚拟机的还原难度会有一定的降低(但也很难),已有的工作可以参考DeathWay的Oreans UnVirtualizer OD插件(http://bbs.pediy.com/thread-192434.htm),对早期Themida\Code Virtualizer的CISC机可以做到很好的代码还原,还原出的指令基本和原始指令一致,非常优秀的工作!
其他还有Zeus、VMSweeper、OoWoodOne插件等等不多介绍。
VirtualDeobfuscator:某年blackhat上的议题 (https://github.com/jnraber/VirtualDeobfuscator Blackhat视频:https://www.youtube.com/watch?v=hoda99l5y_g ) 这个工具是通过化简trace除去虚拟机的逻辑,然后留下指令的逻辑方便分析。思路很清奇。不过我测试对VMP效果一般。按文章描述对CISC指令集似乎效果会好一些。
好了,这就确定了我的目标:将VMP伪代码还原成语义等价易读的代码(如汇编或者C代码)。
同时因为自己代码能力有限且时间有限,在保证目标的前提下我希望尽量降低开发难度。
这就需要将VMP伪代码转化成常见编译器(gcc、clang)能处理的形式。首先想到的是LLVM,但开发过程用到LLVM相关的库,开发和调试都比较困难,后来直接利用C作为中间代码进行转化。
用我们的方法变成C语言,伪指令会变成C代码:
这是超级简化例子,实际C代码 a = b在编译的时候会涉及栈变量的读写,比如可能变成
用C语言的宏表示如下:
这个时候又能展示编译器的强大优化能力了,如果编译如下C代码
使用gcc -O3编译优化,得到的结果程序拖到IDA中可以得到如下的伪代码
使用clang -O3编译优化,效果如下。
如果采用传统的规则匹配来化简NOR逻辑,则需要加入很多对应的匹配规则。而如果某一天这些规则发生变化,则又需要修改匹配规则。当使用编译器来化简,问题就变得简单了许多。
0x02 实现
4. 结果文件放到IDA中还原回C代码。
提取伪代码这一块前面的工作已经比较成熟,不再花时间造轮子了。直接使用VMP分析插件v1.4进行提取,伪代码格式类似如下:
如vAdd4转化成如下代码
其他具体细节还有很多,这里不多介绍,有兴趣的可以留言联系进行深入交流。
all_op2.gcc在IDA中反编译的结果:
可以神奇的发现主要代码逻辑已经被清晰的还原出来了。
要注意到代码中是包含数组访问的、同时还有与、或等逻辑运算,都较好的还原了出来。
为了不占用页面不贴汇编代码了,汇编代码可以自己看附件中的程序。
可以看到前面的示例中是不含条件和循环的。因为VMP处理跳转和条件跳转的时候会将这些直接跳转全部转化为间接跳转。以条件跳转为例,VMP会先将两个跳转的地址压处栈中,再根据比如的flag计算值决定使用哪个地址作为跳转目标。这一部分很难直接利用编译器进行优化。 目前还没有想到太好的解决方法。
汇编上表示如下:
VMP表示如下:
比如
可以看到前面的例子中原始代码是不含局部变量的,也就是不含sub esp类的指令的。
由于虚拟栈作为了局部变量数组,这种方法编译生成的汇编码比较冗长,也难以阅读,不过不影响IDA的反编译。
IDA反编译时似乎也会进行简单的优化,因此显示效果还不错。
受方法本质的限制,是不能恢复出和原始代码一模一样的汇编的,也不能运行。但代码逻辑是基本一致的。
这里说一下私心,之所以敢于在方法和工具不成型的时候就提前把方法分享出来。是希望有感兴趣的和懂VMP的大牛指点一下。论坛上有很多前辈在这方面研究十分深入,经验丰富。这个方法算是拍脑袋想到的方法,存在不少问题。希望大牛们对提到的几个问题有什么改进的思路,或者发现了其他可能存在的问题,都麻烦留言不吝赐教。(尤其是前面提到间接跳转问题,让我十分头疼。如果大大们有好的想法,请一定留言指教)
测试程序放在附件里,如果有感兴趣的,请务必留言联系。
多谢各位。
VMProtect 虚拟机保护软件是业界公认的高强度软件保护工具。VMP除了具有常规的IAT保护、资源保护、反调试、完整性校验、运行时壳等保护手段以为,其最为人痛恨的是虚拟化保护。通过将原始的二进制汇编代码转化成语义等价的虚拟机字节码(也常称为PCODE,伪代码),并使用自定义虚拟机(或称字节码解释器)对字节码进行解释执行。想恢复原始的代码,必须分析虚拟机本身,大大提高了逆向分析的难度。
据笔者目前查到的资料,尚无公开的工具或方法可以进行VMP虚拟机字节码到原始二进制代码的还原。
个人觉得主要原因在于VMP虚拟机的RISC栈机体系结构与x86的CISC体系结构差异巨大。
(实际上ebp, efl, tmp, eax都会对应VMP的虚拟寄存器,这里为了方便表达暂时这么写)
一条CISC指令转化成RISC栈机指令时会发生巨大的指令膨胀。想将膨胀后的伪代码还原为一条CISC汇编指令是很困难的。
1. 如果单纯依靠模式规则的匹配,这么必须收集非常多的膨胀规则,需要付出巨大的人力代价,开发难度高,却不一定有好的效果。
2. 由于VMP的寄存器轮转问题,确定指令的真实寄存器是很困难的。(2009年中国软件安全峰值 Bughoho的PPT 《VMProtect的逆向分析与静态还原》中详细描述了寄存器轮转并提出了解决方案,但这种方案比较复杂,开发难度比较高。)
对于VMP则还没有见到有公开的可用的,可以直接还原成原始代码的工具开放出来。但也有很多前辈的研究成果。部分如下:
FKVMP:nooby&fengyue大佬开发的插件,应该耳熟能详。nooby是很早研究VMP插件的前辈,FKVMP可以进行handler的识别得到伪指令序列,早期神器。
VMP分析插件v1.4:zdhysd大佬开发的(
http://bbs.pediy.com/thread-154621.htm )毫不过分的说这里目前市面的可以见到的
最好用的VMP分析插件,没有之一。可以自行添加handler识别规则和化简规则。除了基础的识别handler之外,最酷的功能是表达式化简功能,可以将VMP伪代码转化成可读性更好的表达式,并进行了数据流分析进行表达式化简,内置近100条化简规则,化简后的表达式可以看到和原始代码相当接近的语义。非常强大!小问题是由于不是常见的汇编代码或C代码,阅读起来仍不是特别方便。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)