0x00 写在前面

如x86的一条指令如mov eax, [ebp+0x100]，转化为VMP伪代码会变成类似如下的代码：

push ebp
push 0x100
add
pop efl
pop tmp
push tmp
pop eax

3. VMP版本更新，膨胀规则可能会稍有变化，工具通用性会非常差，必须持续跟踪不同版本。

对于CISC指令集虚拟机的还原难度会有一定的降低（但也很难），已有的工作可以参考DeathWay的Oreans UnVirtualizer OD插件（http://bbs.pediy.com/thread-192434.htm），对早期Themida\Code Virtualizer的CISC机可以做到很好的代码还原，还原出的指令基本和原始指令一致，非常优秀的工作！

其他还有Zeus、VMSweeper、OoWoodOne插件等等不多介绍。

VirtualDeobfuscator：某年blackhat上的议题 （https://github.com/jnraber/VirtualDeobfuscator   Blackhat视频：https://www.youtube.com/watch?v=hoda99l5y_g ） 这个工具是通过化简trace除去虚拟机的逻辑，然后留下指令的逻辑方便分析。思路很清奇。不过我测试对VMP效果一般。按文章描述对CISC指令集似乎效果会好一些。

好了，这就确定了我的目标：将VMP伪代码还原成语义等价易读的代码（如汇编或者C代码）。

同时因为自己代码能力有限且时间有限，在保证目标的前提下我希望尽量降低开发难度。

这就需要将VMP伪代码转化成常见编译器（gcc、clang）能处理的形式。首先想到的是LLVM，但开发过程用到LLVM相关的库，开发和调试都比较困难，后来直接利用C作为中间代码进行转化。

用我们的方法变成C语言，伪指令会变成C代码：

sp -= 4; //分配栈
stack[sp] = R1; // push R1
R0 = stack[sp]; // pop R0
sp += 4; //恢复栈

这是超级简化例子，实际C代码 a = b在编译的时候会涉及栈变量的读写，比如可能变成

mov eax, [ebp + 4]
mov [ebp+8], eax。

用C语言的宏表示如下：

#define NOR(a,b)    ((~((uint32_t)(a))) & (~((uint32_t)(b))))
#define NOT(x)      NOR( (x),(x) )
#define AND(a,b)    NOR( NOT(a), NOT(b))
#define OR(a,b)     NOR( NOR((a),(b)), NOR((a),(b)) )
#define SUB(a,b)    NOT( NOT(a) + (b) )
#define XOR(a, b)   NOR(NOR(a, b), AND(a, b))

这个时候又能展示编译器的强大优化能力了，如果编译如下C代码

uint32_t a,b;
scanf("%d %d", &a,&b);
printf("%d %d %d %d %d",SUB(a,b), XOR(a,b), NOT(a), OR(a,b), AND(a,b));

使用gcc -O3编译优化，得到的结果程序拖到IDA中可以得到如下的伪代码

__isoc99_scanf("%d %d");
printf("%d %d %d %d %d", v4 - v5, ~(v4 & v5) & (v4 | v5), ~v4, v4 | v5, v4 & v5);

使用clang -O3编译优化，效果如下。

__isoc99_scanf("%d %d", &v5, &v4);
printf("%d %d %d %d %d", ~(v4 + ~v5), v5 ^ v4, ~v5, v5 | v4, v5 & v4);

如果采用传统的规则匹配来化简NOR逻辑，则需要加入很多对应的匹配规则。而如果某一天这些规则发生变化，则又需要修改匹配规则。当使用编译器来化简，问题就变得简单了许多。

0x02 实现

4. 结果文件放到IDA中还原回C代码。

提取伪代码这一块前面的工作已经比较成熟，不再花时间造轮子了。直接使用VMP分析插件v1.4进行提取，伪代码格式类似如下：

0040751C               |.  0C           vPushReg4 vR3        DWORD _t17 = EBP
0040751D               |.  7B           vPushVEsp            DWORD _t18 = 30
0040751E               |.  9C           vPopReg4 vR7         DWORD _t19 = 30
0040751F               |.  24           vPushReg4 vR9        DWORD _t20 = _t13
00407520               |.  08           vPushReg4 vR2        DWORD _t21 = ESI
00407521               |.  00           vPushReg4 vR0        DWORD _t22 = EDI
00407522               |.  A6 00        vPushImmSx1 0        DWORD _t23 = 0
00407524               |.  1C           vPushReg4 vR7        DWORD _t24 = 30
00407525               |.  3E FC        vPushImmSx1 0FC      DWORD _t25 = 0FFFFFFFC
00407527               |.  39           vAdd4                DWORD _t26 = 2C; DWORD _t27 = AddFlag(_t25, _t24)
00407528               |.  B8           vPopReg4 vR14        DWORD _t28 = _t27
00407529               |.  52           vWriteMemSs4         DWORD _t29 = 0
0040752A               |.  A6 FC        vPushImmSx1 0FC      DWORD _t30 = 0FFFFFFFC
0040752C               |.  1C           vPushReg4 vR7        DWORD _t31 = 30
0040752D               |.  39           vAdd4                DWORD _t32 = 2C; DWORD _t33 = AddFlag(_t31, _t30)
0040752E               |.  8C           vPopReg4 vR3         DWORD _t34 = _t33

如vAdd4转化成如下代码

uint32_t op1 = pop4();
uint32_t op2 = pop4();
uint32_t result = op1 + op2;
uint32_t flag = add_flag(op1, op2, result);
push4(result);
push4(flag);

其他具体细节还有很多，这里不多介绍，有兴趣的可以留言联系进行深入交流。

all_op2.gcc在IDA中反编译的结果：

可以神奇的发现主要代码逻辑已经被清晰的还原出来了。

要注意到代码中是包含数组访问的、同时还有与、或等逻辑运算，都较好的还原了出来。

为了不占用页面不贴汇编代码了，汇编代码可以自己看附件中的程序。

可以看到前面的示例中是不含条件和循环的。因为VMP处理跳转和条件跳转的时候会将这些直接跳转全部转化为间接跳转。以条件跳转为例，VMP会先将两个跳转的地址压处栈中，再根据比如的flag计算值决定使用哪个地址作为跳转目标。这一部分很难直接利用编译器进行优化。 目前还没有想到太好的解决方法。

汇编上表示如下：

label:
    .... (代码）
    jmp label

VMP表示如下：

0x401000:
    ... (代码）
    ...
0x402000
    vPush 0x401000
    vJmp

比如

label1:
...(代码）
label2:
switch(addr){
case 0x401000: goto label1;
case 0x402000: goto label2;
}

可以看到前面的例子中原始代码是不含局部变量的，也就是不含sub esp类的指令的。

由于虚拟栈作为了局部变量数组，这种方法编译生成的汇编码比较冗长，也难以阅读，不过不影响IDA的反编译。

IDA反编译时似乎也会进行简单的优化，因此显示效果还不错。

受方法本质的限制，是不能恢复出和原始代码一模一样的汇编的，也不能运行。但代码逻辑是基本一致的。

这里说一下私心，之所以敢于在方法和工具不成型的时候就提前把方法分享出来。是希望有感兴趣的和懂VMP的大牛指点一下。论坛上有很多前辈在这方面研究十分深入，经验丰富。这个方法算是拍脑袋想到的方法，存在不少问题。希望大牛们对提到的几个问题有什么改进的思路，或者发现了其他可能存在的问题，都麻烦留言不吝赐教。（尤其是前面提到间接跳转问题，让我十分头疼。如果大大们有好的想法，请一定留言指教）

测试程序放在附件里，如果有感兴趣的，请务必留言联系。

多谢各位。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法