[讨论]某安全SDK的ARM级VMP简单分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[讨论]某安全SDK的ARM级VMP简单分析

发表于: 2017-6-29 03:06 13447

[讨论]某安全SDK的ARM级VMP简单分析

无名侠

2017-6-29 03:06

13447

样本来源于阿里安全SDK，APP为狼人杀，这个样本并不算真正的VMP，但是有VM的影子，非常值得学习。

阿里安全SDK的libsgmainso-5.3.38.so提取方法:

解压APP，定位lib目录，找到libsgmain.so，该so实际是一个apk文件。将该apk解压后，就能在lib目录中找到真实SO。

样本SO ELF文件节表有问题，IDA无法正常打开，进行简单修复即可。

修复方法：

打开010 套模板，Elf32_Half e_shnum置0即可。

运作原理:

其中有一张表，该表记录了opcode对应Handler的偏移地址。

Handler地址计算：

Vm_table 为该表起始地址。

Vm_base 为一个对齐地址等于Vm_table + 1

Offset = vm_table[opcode * 4]

HandlerAddr = offset + vm_base

Opcode字节码不集中，采用指令链接形式把所有opcode串联起来。

本文样本的解析部分结果（手动计算）：

Op Handler

1D CF9D

1E D3B3

10 D264

2B D5F4

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・17

免费・1

支持

最新回复 (21)
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 2 楼最好发个apk的链接或附件。 2017-6-29 03:23 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼天才小能手 2017-6-29 08:31 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 4 楼地狱怪客天才小能手我要小媳妇 2017-6-29 09:36 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 5 楼无名侠我要小媳妇已发货！ 2017-6-29 11:21 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 6 楼地狱怪客天才小能手都是天才小能手 2017-6-29 11:22 0
无所从来雪币： 249 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	无所从来 7 楼 m 2017-6-29 14:52 0
寒号鸟二代雪币： 172 活跃值： (1623) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 64 粉丝 39 关注私信	寒号鸟二代 3 8 楼准备提取真实指令的，真是难搞，2 3条指令就用一个handler处理 2017-6-29 17:28 0
imcczy 雪币： 14 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	imcczy 9 楼这种类型的VM，污点分析是一种思路 2017-6-29 17:37 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 10 楼 imcczy 这种类型的VM，污点分析是一种思路什么是污点分析啊 2017-6-30 01:39 0
初初初初初初雪币： 19 能力值： (RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	初初初初初初 11 楼能留个联系方式吗 2017-6-30 11:39 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 12 楼这是ollvm的fla，不是vmp... 2017-6-30 13:02 0
icedheart 雪币： 243 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	icedheart 13 楼赞 2017-6-30 14:04 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 14 楼应该不是VMP，VMP的话每一个Handler是一个很小的原子解释操作 2017-7-1 09:38 0
kkxie 雪币： 5 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kkxie 15 楼你好，能发下样本吗？ 2017-7-18 11:27 0
sonnzy 雪币： 234 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	sonnzy 16 楼这个是ollvm的混淆 2017-8-4 10:36 0
nomadicsun 雪币： 402 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	nomadicsun 17 楼小伙牛× 2017-12-5 16:34 0
走码观花雪币： 3 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 2 关注私信	走码观花 18 楼它这个东西的反调试有研究没 2018-1-19 18:20 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 180 粉丝 343 关注私信	Imyang 1 19 楼走码观花它这个东西的反调试有研究没 [em_2] 我的反调试已经过了，就差ollvm反混淆了 2018-2-27 20:52 0
走码观花雪币： 3 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 2 关注私信	走码观花 20 楼 Imyang 我的反调试已经过了，就差ollvm反混淆了留下交流方式 2018-3-11 13:30 0
mztang 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mztang 21 楼 Imyang 我的反调试已经过了，就差ollvm反混淆了这个如何反调试呀？求教~ 2019-7-9 16:32 0
mztang 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mztang 22 楼 Imyang 我的反调试已经过了，就差ollvm反混淆了楼主，这个反混淆如何写具体脚本，能分享下么？ 2019-7-9 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

无名侠

发帖

406

回帖

797

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 2 楼最好发个apk的链接或附件。 2017-6-29 03:23 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼天才小能手 2017-6-29 08:31 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 583 关注私信	无名侠 12 4 楼地狱怪客天才小能手我要小媳妇 2017-6-29 09:36 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 5 楼无名侠我要小媳妇已发货！ 2017-6-29 11:21 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 6 楼地狱怪客天才小能手都是天才小能手 2017-6-29 11:22 0
无所从来雪币： 249 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	无所从来 7 楼 m 2017-6-29 14:52 0
寒号鸟二代雪币： 172 活跃值： (1623) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 64 粉丝 39 关注私信	寒号鸟二代 3 8 楼准备提取真实指令的，真是难搞，2 3条指令就用一个handler处理 2017-6-29 17:28 0
imcczy 雪币： 14 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	imcczy 9 楼这种类型的VM，污点分析是一种思路 2017-6-29 17:37 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 10 楼 imcczy 这种类型的VM，污点分析是一种思路什么是污点分析啊 2017-6-30 01:39 0
初初初初初初雪币： 19 能力值： (RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	初初初初初初 11 楼能留个联系方式吗 2017-6-30 11:39 0
万抽抽雪币： 29 活跃值： (499) 能力值： ( LV8，RANK：120 ) 在线值：发帖 15 回帖 201 粉丝 31 关注私信	万抽抽 2 12 楼这是ollvm的fla，不是vmp... 2017-6-30 13:02 0
icedheart 雪币： 243 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	icedheart 13 楼赞 2017-6-30 14:04 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 14 楼应该不是VMP，VMP的话每一个Handler是一个很小的原子解释操作 2017-7-1 09:38 0
kkxie 雪币： 5 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kkxie 15 楼你好，能发下样本吗？ 2017-7-18 11:27 0
sonnzy 雪币： 234 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	sonnzy 16 楼这个是ollvm的混淆 2017-8-4 10:36 0
nomadicsun 雪币： 402 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	nomadicsun 17 楼小伙牛× 2017-12-5 16:34 0
走码观花雪币： 3 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 2 关注私信	走码观花 18 楼它这个东西的反调试有研究没 2018-1-19 18:20 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 180 粉丝 343 关注私信	Imyang 1 19 楼走码观花它这个东西的反调试有研究没 [em_2] 我的反调试已经过了，就差ollvm反混淆了 2018-2-27 20:52 0
走码观花雪币： 3 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 2 关注私信	走码观花 20 楼 Imyang 我的反调试已经过了，就差ollvm反混淆了留下交流方式 2018-3-11 13:30 0
mztang 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mztang 21 楼 Imyang 我的反调试已经过了，就差ollvm反混淆了这个如何反调试呀？求教~ 2019-7-9 16:32 0
mztang 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mztang 22 楼 Imyang 我的反调试已经过了，就差ollvm反混淆了楼主，这个反混淆如何写具体脚本，能分享下么？ 2019-7-9 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复