首页
社区
课程
招聘
[翻译]一个简单虚拟机的逆向
发表于: 2018-9-27 22:26 9636

[翻译]一个简单虚拟机的逆向

2018-9-27 22:26
9636

嗨,今晚有点累,于是我下载了一些非常喜欢非常动听的音乐,是时候来逆向了。之前有收到一些和我观点不太一样的关于这个教程的问题,那么就来写个小教程吧。

关于HyperUnpackMe2我已经听说过很多次了,所以最后我选择了它。打开了IDA 4.3 - 是的,我不使用被破解的工具。。。毕竟,这些工具对于某些人来讲是必不可缺的。。。

然后,打开CrackedMe。CrackMe开始有许多拙劣的anti-IDA的小把戏,需要un-define(U 键)跳转/调用指针,然后将指针指向的区域重新定义为'代码'(C 键)。CrackMe将指针隐藏在了LoadLibrary和一些字符串里边,比如像“VirtualAlloc”这样。好了,可笑并且无趣,我们想要看的是虚拟机。希望它没有被加密,否则,在VM变得明晰之前不得不开Olly来脱壳了。。。

那么,如何使用IDA 4.3在代码中寻找VM的代码呢??简单的办法:使用滚动条+一款古老的逆向工具:Zen(禅,译:不好意思没用过)。

我们要找什么,什么可以成为'Zen'点?好吧,当我浏览aspr 1.2 dll时,我发现push序列后边跟着一个ret可能会是一个'Zen'点。事实上,这在壳的待办事项清单中。VM呢?好吧,VM由仿真指令组成,通常都有一个循环代码跳转到公共的的函数或者地址。在这种情况下,我们需要寻找指针、函数列表。是的,这个列表可以是很多东西。可能是对象,比如,按这种方式来存储。我们如何从VM中区分或者当VM被硬编码进一个对象的时候该怎么办?

其实答案很简单。去测试这些函数,寻找重复的模式。举例,如果在这些函数中引用相同的参数,并且对应的参数按照某种模式被不止一个函数使用,此时你可能已经在虚拟机里了。个人而言,我总是试图找到对常见攻击点的引用,比如程序计数器(相当于EIP)。这可能并不是一直都很容易的。像 *F 此类的 绑定流虚拟机(binded flow VMs) 是相当复杂的(顺带说一句,你可以使用各种技巧来记录它的日志)。

回到我们的crackme。先拖动滚动条,到处看一看,我在随机的跟随跳转和调用中发现了这样一个令人感兴趣的列表,如下:

看起来是不是很有趣?一长串列表的指针。来探索一下其中的一个指针吧(第一个链接表指向了第二个的头部 -emmmmmm).

IDA 将这一小段解释为数据,但是按下‘C’键将其标记为代码之后就变为了。。。

有趣,不是吗?一个jmp紧随着XOR操作。让我们在所有的块上使用”C“键标记,来看看发生了什么:

这些是我最初按下"C"键的地方。来审查下代码。所有的片段都跳转到了相同的地址,这意味着它们有一个公共的尾部。

注意第一条指令:在所有的入口处都是重复的mov ecx,esi!这看起来不是一种模式吗 - 获取相同逻辑的参数被传递给了esi?很明确,ecx是下一条循环左移指令shl的移位计数。同时,这些代码片段中[edi]寄存器被用作shl的操作目标地址。并且,这三行代码块呈现出了相同的结构,仅仅是核心指令(“执行器”)发生了变化:byte ptrword ptrdword ptr。有没有可能是三种提到的对应的虚拟shl指令?是的。。

因此,我们需要搞明的是这里SHL的源参数由esi传递,目标很明显了在edi,我们有一系列shl了,shl了byte、word、dword型。

其实,我们足够幸运了。VM通常从指令集结构上来看会更加的复杂。这个虚拟机没有很多复杂的与指令不同类型寄存器、内存、偏移有关的实现。它似乎使用了固定的指令的源/目标标记:ESI是一个指向源的通用指针,EDI则是指向目标结果的通用指针(如我们逆向所看到的,VM的通用寄存器被用来作为指令的内存引用。如果SHL的目标是一个通用VM寄存器R1,那么EDI则可能包含指向R1的指针。)

一种常用的或者说更加标准的切入点在VM中是NOP指令的等价实现。怎么去发现那些NOP呢?easy~那些NOP的等价实现什么也没干但是却更新了VM的内部状态。因此, 如果一条指令仅仅是更新了VM的状态,例如,只是被用来更新PC(Progma Counter)的代码就非常有可能是该虚拟机的NOP。这个CrackMe的VM非常简单,因此我们直接把NOP作为切入点来识别复杂的指令就行了。

此刻,是时候来逆向这个指令块并且命名它们了。逆向的结果产生了一些像下边这样的结果:

所有的这些指令结构都和那条SHL一样(或多或少)。一个非常有趣的点是观察IDIV指令的实现。你肯能注意到了,这条指令被分成了IDIVIDIV_RESET。你可能还记得,IDIV指令还会返回除法的余数。如果你检查一下这两个虚拟的OPCODE是被怎样实现的就会发现:

IDIVEDI返回了一个不同的寄存器。这会让你应该想一想为什么了。结果显而易见,其中一个是除法的结果,另一个则是除法的余数。作为由二元集合(源/目的)组成的VM指令,作者需要实现完全相同的三元指令的工作。

请注意,通常我会在重建虚拟机之前会查看一下所有的指令集,以便弄清楚一些我还未谈到的重要事项。我总是寻找关于VM寄存器结构给出的提示。举例来说,当发现以下的指令时,我首先会想到:

PUSHF???为什么这里需要一个PUSHF指令?PUSHF 指令在比较操作之后保存了EFLAGS寄存器。emmmmm。。。并且之后在一个和EAX寄存器相关的结构中POP出来。EAX寄存器是否在其他的虚拟机代码片段中被使用?是的。。必须的啊。

此刻你应该问下自己:为什么这个指令会在比较之后保存EFLAGS到一个相关的结构中去?万一你还不明白的话,[EAX + 0CH]明显是一个VM的虚拟EFLAGS寄存器。因此我们可以打开IDA的struct页,创建一个结构体并且添加DWORD直到创建到了feild_0CH。我们把0CH处的这个成员就叫做VM_EFLGAS吧。

如上所示。

此时,已经识别出来我们的第一个VM寄存器了!在逆向的过程中接着找寻其他的吧。。在代码中,还有下边的这段:

当我看见的时候,我注意到:这段片段取了一个固定的VM寄存器(说它固定是因为VM结构中的偏移基址是固定的,EAX010H)以及固定的减4操作。从EDI中取出末尾2字节然后保存这两字节。你知道有什么汇编操作是需要在写寄存器的时候,寄存器的值是减少的吗?

加油。。。此刻看起来应该更加明晰了:

希望无需注释你也能看懂。这个是PUSH DWORD操作。

又一个VM寄存器被发现了。继续吧。我们依然缺少EIP、通用寄存器。。接着找吧。浏览指令,可以发现:

这里,这个指令和CMP指令有着相同的布局,但是这里出现了一个JZ指令。这是一个跳转,非常好。EIP肯定会在这里使用,当我们跳转到某处时必须以某种方式改变EIP的值。我们已经知道了EAX+0CH是我们的EFLAGS。因此,这里的虚拟EFLAGS被赋值到了CPU的EFLAGS中,让后JZ指令被执行了。如果跳转没有被执行到,EDI中的参数会被赋值到EAX+08H。此刻我们知道了EAX包含了VM的上下文。因此,我敢打赌EAA+08H中被赋值的参数是。。我们在跳转之后新的EIP所在(从技术上来讲,这意味着这条虚拟指令执行的是JNZ,而不是JZ!)

所以。。。

找到VM EIP寄存器了。此时,请你来尝试识别下边这条虚拟指令吧:

我不会给你任何提示。。除了这是使用ESP和EIP的指令。请自行思考。

另一个有趣的点是,你应该始终牢记,在编写VM时,作者并不遵循特定的“规则”。因此,指令并不是一定是标准的。指令可以做任何作者期望的事情。举例来讲,下边这条指令:

你应该注意到了:这里使用了物理ESP寄存器!!为什么呢?这里使用了真正的ESP,然后取虚拟的VM stack设置到了物理栈上。并且通过EDX执行了一个函数调用。这意味着这个虚拟机具备通过在虚拟栈上压入虚拟参数,然后调用这条交换栈空间的虚拟指令(如果你对处理器很了解的话,它通过在特权门之间复制参数以示栈切换),在物理的CPU上执行代码的能力。同时,也需要注意到,物理CPU执行函数的返回值被保存到了VM 上下文的某个地方。。

我花费了半小时逆向了几乎所有的虚拟指令集、寄存器,相信你也可以做到!其中只有一些指令会复杂些,但是对于虚拟机逆向并不是很重要(我的意思是,对于理解通用的结构来说)。

好了,是时候休息一下。很晚了。。。希望你能欣赏这个小小的指导。---Maximus。

如果我们检查一个虚拟机的一般结构,我们通常会发现一个大循环来负责执行虚拟程序,以获取指令、解码指令、执行指令这种方式来模拟处理器复杂的执行状态。HyperCrackme2就采用了这种虚拟机结构。

这个结构足够通用,请牢记在心。从通用的角度来看,每个虚拟机都包含了一下元素:

一个HyperCrackme2初始化结构元素的例子可以通过查看下边这个IDA的注释:

如你所见,这个REST_VM_PROCESS是上边所描述的第2点,而在ja short IS_UNARY_INSTR下边的这部分则是第3.1点。此代码段中的代码,除了清理寄存器之外,预读了第一条指令的OPCODE(VM.EIP指向的字节),然后分析了该OPCODE以选取VM的哪个执行单元来应用于获取的字节码。

现在让我们来看下这个VM的“构建块”,Setup_Binary_Instruction_Params函数,这个函数负责处理二进制VM OPCODE。为了检查下一个代码片段,请记住,EAX包含了我们的VM_CONTEXT。因为我们已经知道了EAX+8指向了VM_EIP

我认为现在了解我们正在寻找的东西很重要,否则分析将毫无用处。我们正在尝试恢复VM的指令结构,以及关于这个结构更详细的描述。填充二进制指令参数的过程必须知道如何解码二进制指令,所以通过检查字节码如何生成,可以重建VM 指令格式。我们应该期待什么?这严重依赖于指令集的复杂性,因为这完全取决于作者的选择。而这些又是我们必须逆向的。所以,我们始终必须仔细的检查指令的字节码是如何使用的,因为作者可能从这种指令类型变换为另一种指令类型。同时,请记住,VM指令并不总是大小都一样的,因为X86指令大小都是不一样的。。。

你可能无法将下边使用的方法应用于其他VM。每一个VM都使用了自己的操作码和VM结构,因此,你应当首先尝试理解哪些代码片段可以用来提示重建VM结构。

检查一下下边这段代码:

这小段应该是很明确的吧:加载虚拟EIP``[EAX+1]指向的的第二个字节,然后赋值给DL寄存器。在做出详细的注释之前,我们应当始终注意到这段代码仅仅使用了单个字节作为虚拟指令!更进一步的看看。

这小段代码和前边那个实在是太相似了(从概念上来讲)。EAX依然是我们的VM.EIP的地址,此时组成操作码的第三字节被加载到内存中被test(技术上来讲,只是高4位被test,如果你注意到and/shr操作的话)。还要注意后边跟随的指令。EDI包含了我们的VM_CONTEXT的地址。因此,ECX寄存器包含了一个DWORD的索引,这个被VM_CONTEXT应用于索引一个DWORD 指针,这个指针在偏移010H的地方。不知你是否还记得?VM_CONTEXT+010H == VM_ESP。这意味着当ECX是0的时候我们就得到了ESP寄存器的地址。然后如果是1的话,是一个ESP地址之后的一个DWORD,知道ESP之后的第十五个DWORD(半子节范围0-15,你懂的。。。)。因此,我们发现了二进制操作码的的第三字节-至少是高半子节可能的用法。如果我们成功执行了上边那段代码的JZ指令,将会跳转到下边的这段代码:

你可以注意到,这段代码取出了EAX(VM.EIP)后的第一个DWORD然后赋值给EDI。我们知道EDI寄存器包含了VM OPCODE的目标参数!这段代码有助于我们理解第一个DWORD仅用于OPCODE的目的,以及在其之后包含OPCODE参数。

这是目前我们知道的VM_CONTEXT

继续尝试我们的二进制OPCODE映射到VM_INSTRUCTION格式的分析吧。我们已经在虚拟指令中遇见了offset + 1,offset + 2,看下最后这个吧,offset + 3的:

这个offset+ 3的字节直接使用MOVSX指令加载到了ECX中。你应该已经知道我想说什么了:为什么是 MOVSX??EDI参数之后和这个字节进行了加法操作, 而EDI中包含着我们的目标参数。为什么这里需要给我们的参数加上一些东西哪?当然是操作数的偏移了。。。

所以,此时我们可以重建一下虚拟指令的结构了:

我同意这部分我们有做太多的注释。原因是这些都是非常依赖于虚拟机的。

前面章节中显示的步骤是理解VM的重要一步。

你可以跳过最初的VM指令结构,只要它不是在每条指令内解密/解码。

此刻,我们必须深入的检查指令集来找到一些可以识别的东西,例如NOP指令,也有可能虚拟机根本没有这个指令。

一旦指令集明确了,至少在最小程度上, 必须特别小心的寻找可能的VM寄存器的使用方式。最终它们的用法可能并不明确,比如它们可以进行轮转、在每个VM入口重新映射等等。但是我们不需要关心。知识总是增加的,人总是会犯错的---特别是你直觉上滥用Zen来加速你的分析的时候:)

我们必须直指VM的心脏,它的解码器。它包含了VM中的所有的重要信息以及VM指令的结构,因为通常它负责调度和执行指令的(预)处理。你必须牢记,解码器通常必须分析VM指令以获取某些东西,比如操作吗长度,参数等。同时,它有可能部分处理是在指令自身中就完成的。制作固定大小的指令(例如,16字节)。

然后呢?然后我们必须回到指令集中来,尝试理解具体的,非标准的执行通常不属于VM处理器的职责的OPCODE。(例如,对真实函数的调用,API,计算块等等)。

此刻我们应该可以解码大多数VM了,可以尝试调试一两条指令来验证是否如我们所想,VM的寄存器是否符合我们的方案。

但是迟早你会编写一种易于DUMP VM程序的代码。你可能会希望有一个IDA插件或者脚本来解码VM程序。或者更简单但是效果稍差,可以编写一个简单的对每一条指令表中指令HOOK 的logger,(简单的讲,编写调试器加载器,在断点事件中使用断点,或者注入dll来HOOK 这个表)。当OPCODE被调用的时候,你的HOOK就DUMP下OPCODE的名称,以及参数。然后你就可以重建程序流程了。一个好用的logger插件是VM.EIP dumper,它允许你为每个VM指令分配正确的KEY,最终具备改变条件跳转结果的可能,因此最终可以跳过那个大循环而只记录VM程序的主要部分。最后,你可以使用logger中的VM.EIP来重新组装大部分的VM程序。

好吧。我希望这篇文章可以帮助你们更好的理解VM。我看到的常见的教学风格是放置学分,因此非常感谢Community以及我的朋友ZeroHAVOK

Regards,

Maximus

2006/7/16

原文参见PDF
翻译:zplusplus
校对:sudozhange

翻译完发现文章写于2006年:),以下是看雪论坛一篇相似的翻译(通过'Zen'关键词找到的:))。

参考阅读:https://bbs.pediy.com/thread-52165.htm

 
 
 
 
 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2018-9-27 22:26 被zplusplus编辑 ,原因: 添加原文PDF
上传的附件:
收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 2141
活跃值: (7226)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
2
2018-10-11 09:39
0
雪    币: 965
活跃值: (89)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
感谢分享!
2018-10-17 16:07
0
雪    币: 26
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不错
2018-10-21 16:49
0
游客
登录 | 注册 方可回帖
返回
//