首先,先给出几个工具.大概都是伪码类的.之前也介绍过.
首先推荐的是zdhysd 师傅的VMP分析插件 1.4 之前介绍过了..

剩下的大家也都用过.一个是木木老师的OoWoodOne 堪比Ximo师傅的zeus 个人用的觉得比zeus更好用一点.而且带源码.

其他的一些ximo老师的zeus,noboy老师FkVMP 之类的大家都熟悉就不提了..

伪码类的VMP分析插件 1.4 用起来很好.除了某些小问题.而且最主要可以自定义规则识别.这个是很强大的地方..如果,对代码很熟悉那么还原起来 还是比较快的.只不过是手动还原罢了.容易出错.这些主要都是逻辑还原.本人觉得从技术上来讲纯asm还原并不现实.因为,我们所谓的轮转机制只不过是一个用寄存器体系 去理解的VM.跟实际寄存器并没有什么关系. 对于VM分析来讲  你用的是哪个寄存器 对我们对VM进行分析 并无影响.可以用伪码进行代表 还原逻辑.然后 再反推寄存器.这是一个很大的工程..根据我已知的消息.其实 已经有很多还原引擎 只不过 我们这些菜鸟未曾一见. 比如大部分cug ccg的前辈....好啦 吹逼就到这里.VM机制不是这个帖子要讲的.如果要讲 也不是我这个菜鸟能讲的..我只聊聊插件怎么用...233333

很早之前用过VMSweeper1.4  觉得不太好用 之后就没有关注过.然后,这几天有个项目要还原VM.开始的时候 用ZEUS 分析好vmhandler 然后到VMVMP 也就是 disp什么的那个地方 分配跳转的..英文不好.专业名词不会.大概理解吧...手动记事本写了三页..瞬间觉得不是人做的工作..心好痛.又不会编程.得了吧..找找现成插件吧..开始的时候用的VM 分析插件 handler 分析没错 但是算法分析有问题.调试起来问题很多..蛋疼的一腿..然后 就拿起了.VMSweeper 但是,还是不行.局限性太大...可是 默默的发现了 这玩意 还原VM还原起来 很是舒服啊. 除了很多插件上的BUG 但是 堆栈反推没有出错.于是有了这篇文章.

事先说明.这些插件使用的局限性很大.毕竟一个系统的还原插件不是一时可以写出来的.就算写出来 大部分师傅 也只是 扔着烂硬盘....对 别看别人 就是你brack老师....这篇文章 我只是简单讲解一下.实际应用之中会遇到很多问题.大部分时候不适合实际应用....

开课:


先上未被VM时候的原始代码

很明显啦易语言代码...反正我菜...


以下为VM后代码.

VM后的代码 其实贴不贴没啥区别...

以下都是截图.


首先 按照我的截图操作.选中

然后




这个时候F9跑起来.然后按F1 程序就开始分析了.分析之后 会在OD目录下生成一个文件夹.里边 文件 我简单讲解一下.trc结尾的是跟踪部分.map 根据前缀 可以分为几种.一类作为堆栈  一类寄存器  一类 操作码 其他我也就不太清楚了.233333

我们要关注的是log 文件.  log文件有虚拟机入口分析 指令表指令分析.也就是opcode 对应的VM指令是啥...还有一部分就是我们要的 根据堆栈还原回来的指令操作.很精简了..
代码如下:

相信我 只要你不傻..怎么还原 一目了然........


带有浮点寄存器 XMM 寄存器的需要手动肉眼还原. 这个插件把代码转换操作之后申请内存出来的汇编代码..相信我.只要你汇编 还行.肉眼还原 基本也就是时间问题..插件很牛逼..很屌...  这个插件是我见过最傻瓜..最简单的还原工具.                

想想像我这种菜B很是惆怅啊...B老师 直接能心算还原.我还停留在只能用别人的工具上面.差距好大...心好痛.


别说这个帖子没用 鄙视我菜.. 这玩意出来好几年了..  技术好的觉得没啥说的必要这么简单的东西..技术菜的不知道.  


我自己也觉得 这么菜的帖子发出来没B格...但是,我觉得发很多原理大家都云里雾里的.不如直接发个插件使用方法.难者不会 会者不难.但是VM这玩意不一样..就算你知道原理.他特么也是体力活...想想我手写三页记事本的还原 还特么没啥卵用..心痛. 不会编程 只能纯手动了.

响应穆恩师傅的帖子:http://bbs.pediy.com/thread-217588.htm

==============================================================================================

==============================================================================================

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)