-
-
[原创]vmp3.0.9全保护拆分解析
-
发表于: 2018-5-1 14:31
-
以下为了避免插件干扰,故采用x64dbg原版进行分析。
首先我通过检测到调试器的弹窗进行栈回溯,定位到该关键点:CALL eax
由于才接触Vmp,所以是把各个保护拆分开来进行的分析,会比较简单一些,不过全保护其实也就是凑在一起罢了,只要注意顺序就行啦。
本帖只是分析基础保护反调试反虚拟机等,不涉及还原VM和分析VM代码的部分。属于新手贴一类,适合萌新观看,大佬轻喷,有错漏之处,敬请指正,谢谢。
EverEdit编辑器是加的一个vmp的壳子,虽然特征和这里分析的不太一致,但是反调试路子大致一样的,而且虽然是vmp但是通过trace跟踪和分析也是可以暴力破解的,可以拿来练手,这里推荐一下。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2018-5-1 14:36
被cat喵编辑
,原因:
|
|
|---|---|
|
|
|
|
|
 卡不懂
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
是的,有软件断点的检测,使用硬件断点就可以的 |
|
|
上面帖子的软件断点检测有说到 |
|
|
|
|
|
|
|
|
支持,整理的很全啊
|
|
|
|
|
|
哈哈,是的,这就是一篇总结贴,而且属于适合新手的,vm还原部分我也还在分析中,不同版本的特征感觉也不太一致,所以没办法快速还原。 如果您有相关资料,也请分享或指教一个方向谢谢 |
|
|
大神请教个问题,你写的SharpOD的Atti_Atti Attach的原理是使用的挂钩DbgUiIssueRemoteBreakin,DbgUiConnectToDbg,DbgUiDebugActiveProcess这几个函数来实现的吗? |
|
|
我也在研究这个,sharpod的Atti_Atti Attach和scyllahide的kill anti attach都可以绕过一些TMD的反附加.不过我挂钩这几个函数失败了,打算直接用修复的方法,把地址改成原版ntdll中的地址. 函数的话,我搜到的有DbgUiIssueRemoteBreakin,DbgUiConnectToDbg,DbgUiDebugActiveProcess你说的这几个,还有DbgBreakPoint,DbgUserBreakPoint这两个. |
|
|
期待你完成后的分享,这方面的思路提供的内容多一些,但是具体实现还没去试过,准备考试啦 |
|
|
我也是使用的SOD的方法, attach进程的时候,在目标进程会创建一个线程,这个线程的起始地址就是DbgUiIssueRemoteBreakin,但你先挂钩进程的 LdrInitializeThunk的话在直接 int 3 接管调试断点,就不会走到那几个API那去了。 |
|
|
|
|
|
Call R32 在vCall里。 VMP3的vCall与VMP2有很大不同,VMP2的vCall只能调用虚拟子程序/函数,VMP3的vCall可以直接调用API,比较方便。感觉VMP3的vCall handler是从Oreans(TMD/WL/CV)“抄”来的! vCall中,解码vEIP一字节为参数个数,然后将vESP(EBP)处的参数依次入栈,最后Call R32完成调用,返回结果EAX保存在[EBP]。 而且VMP3 vCall的入口有好多个,这些vCall handler解码算法也有差异;VMP2时只有一个vCall。 另外,ZwQuerySystemInformation[SystemInformationClass::SystemModuleInformation]取得系统模块列表后,将模块名与解密后的字符串"sice.sys"、"siwvid.sys"、"ntice.sys"、"iceext.sys"和"syser.sys"进行比较,来完成检测。 |
|
|
|
|
|
大佬,这句"在直接 int 3 接管调试断点"是什么意思.没有理解.是直接钩取LdrInitializeThunk然后在Fake_LdrInitializeThunk里面自己写int 3吗 |
|
|
谢谢,说的好详细。想问下vCALL在3.x版本下不止一个,但是一直没明白为啥这个检测基本上检测函数的调用在一个地方就能过,我是把所有的保护都有勾选的? |
|
|
|
