一个简单虚拟机的逆向

1.检索指令和寄存器

嗨，今晚有点累，于是我下载了一些非常喜欢非常动听的音乐，是时候来逆向了。之前有收到一些和我观点不太一样的关于这个教程的问题，那么就来写个小教程吧。

关于HyperUnpackMe2我已经听说过很多次了，所以最后我选择了它。打开了IDA 4.3 - 是的，我不使用被破解的工具。。。毕竟，这些工具对于某些人来讲是必不可缺的。。。

然后，打开CrackedMe。CrackMe开始有许多拙劣的anti-IDA的小把戏，需要un-define(U 键)跳转/调用指针，然后将指针指向的区域重新定义为'代码'(C 键)。CrackMe将指针隐藏在了LoadLibrary和一些字符串里边，比如像“VirtualAlloc”这样。好了，可笑并且无趣，我们想要看的是虚拟机。希望它没有被加密，否则，在VM变得明晰之前不得不开Olly来脱壳了。。。

那么，如何使用IDA 4.3在代码中寻找VM的代码呢？？简单的办法：使用滚动条+一款古老的逆向工具：Zen（禅，译：不好意思没用过）。

我们要找什么，什么可以成为'Zen'点？好吧，当我浏览aspr 1.2 dll时，我发现push序列后边跟着一个ret可能会是一个'Zen'点。事实上，这在壳的待办事项清单中。VM呢？好吧，VM由仿真指令组成，通常都有一个循环代码跳转到公共的的函数或者地址。在这种情况下，我们需要寻找指针、函数列表。是的，这个列表可以是很多东西。可能是对象，比如，按这种方式来存储。我们如何从VM中区分或者当VM被硬编码进一个对象的时候该怎么办？

其实答案很简单。去测试这些函数，寻找重复的模式。举例，如果在这些函数中引用相同的参数，并且对应的参数按照某种模式被不止一个函数使用，此时你可能已经在虚拟机里了。个人而言，我总是试图找到对常见攻击点的引用，比如程序计数器（相当于EIP）。这可能并不是一直都很容易的。像 *F 此类的 绑定流虚拟机(binded flow VMs) 是相当复杂的（顺带说一句，你可以使用各种技巧来记录它的日志）。

回到我们的crackme。先拖动滚动条，到处看一看，我在随机的跟随跳转和调用中发现了这样一个令人感兴趣的列表，如下：

看起来是不是很有趣？一长串列表的指针。来探索一下其中的一个指针吧（第一个链接表指向了第二个的头部 -emmmmmm）.

IDA 将这一小段解释为数据，但是按下‘C’键将其标记为代码之后就变为了。。。

有趣，不是吗？一个jmp紧随着XOR操作。让我们在所有的块上使用”C“键标记，来看看发生了什么：

这些是我最初按下"C"键的地方。来审查下代码。所有的片段都跳转到了相同的地址，这意味着它们有一个公共的尾部。

注意第一条指令：在所有的入口处都是重复的mov ecx,esi！这看起来不是一种模式吗 - 获取相同逻辑的参数被传递给了esi？很明确，ecx是下一条循环左移指令shl的移位计数。同时，这些代码片段中[edi]寄存器被用作shl的操作目标地址。并且，这三行代码块呈现出了相同的结构，仅仅是核心指令（“执行器”）发生了变化：byte ptr，word ptr，dword ptr。有没有可能是三种提到的对应的虚拟shl指令？是的。。

因此，我们需要搞明的是这里SHL的源参数由esi传递，目标很明显了在edi，我们有一系列shl了，shl了byte、word、dword型。

其实，我们足够幸运了。VM通常从指令集结构上来看会更加的复杂。这个虚拟机没有很多复杂的与指令不同类型寄存器、内存、偏移有关的实现。它似乎使用了固定的指令的源/目标标记：ESI是一个指向源的通用指针，EDI则是指向目标结果的通用指针（如我们逆向所看到的，VM的通用寄存器被用来作为指令的内存引用。如果SHL的目标是一个通用VM寄存器R1，那么EDI则可能包含指向R1的指针。）

一种常用的或者说更加标准的切入点在VM中是NOP指令的等价实现。怎么去发现那些NOP呢？easy~那些NOP的等价实现什么也没干但是却更新了VM的内部状态。因此， 如果一条指令仅仅是更新了VM的状态，例如，只是被用来更新PC（Progma Counter）的代码就非常有可能是该虚拟机的NOP。这个CrackMe的VM非常简单，因此我们直接把NOP作为切入点来识别复杂的指令就行了。

此刻，是时候来逆向这个指令块并且命名它们了。逆向的结果产生了一些像下边这样的结果：

所有的这些指令结构都和那条SHL一样（或多或少）。一个非常有趣的点是观察IDIV指令的实现。你肯能注意到了，这条指令被分成了IDIV和IDIV_RESET。你可能还记得，IDIV指令还会返回除法的余数。如果你检查一下这两个虚拟的OPCODE是被怎样实现的就会发现：

IDIV中EDI返回了一个不同的寄存器。这会让你应该想一想为什么了。结果显而易见，其中一个是除法的结果，另一个则是除法的余数。作为由二元集合（源/目的）组成的VM指令，作者需要实现完全相同的三元指令的工作。

请注意，通常我会在重建虚拟机之前会查看一下所有的指令集，以便弄清楚一些我还未谈到的重要事项。我总是寻找关于VM寄存器结构给出的提示。举例来说，当发现以下的指令时，我首先会想到：

PUSHF？？？为什么这里需要一个PUSHF指令？PUSHF 指令在比较操作之后保存了EFLAGS寄存器。emmmmm。。。并且之后在一个和EAX寄存器相关的结构中POP出来。EAX寄存器是否在其他的虚拟机代码片段中被使用？是的。。必须的啊。

此刻你应该问下自己：为什么这个指令会在比较之后保存EFLAGS到一个相关的结构中去？万一你还不明白的话，[EAX + 0CH]明显是一个VM的虚拟EFLAGS寄存器。因此我们可以打开IDA的struct页，创建一个结构体并且添加DWORD直到创建到了feild_0CH。我们把0CH处的这个成员就叫做VM_EFLGAS吧。

如上所示。

此时，已经识别出来我们的第一个VM寄存器了！在逆向的过程中接着找寻其他的吧。。在代码中，还有下边的这段：

当我看见的时候，我注意到：这段片段取了一个固定的VM寄存器（说它固定是因为VM结构中的偏移基址是固定的，EAX，010H）以及固定的减4操作。从EDI中取出末尾2字节然后保存这两字节。你知道有什么汇编操作是需要在写寄存器的时候，寄存器的值是减少的吗？

加油。。。此刻看起来应该更加明晰了：

希望无需注释你也能看懂。这个是PUSH DWORD操作。

又一个VM寄存器被发现了。继续吧。我们依然缺少EIP、通用寄存器。。接着找吧。浏览指令，可以发现：

这里，这个指令和CMP指令有着相同的布局，但是这里出现了一个JZ指令。这是一个跳转，非常好。EIP肯定会在这里使用，当我们跳转到某处时必须以某种方式改变EIP的值。我们已经知道了EAX+0CH是我们的EFLAGS。因此，这里的虚拟EFLAGS被赋值到了CPU的EFLAGS中，让后JZ指令被执行了。如果跳转没有被执行到，EDI中的参数会被赋值到EAX+08H。此刻我们知道了EAX包含了VM的上下文。因此，我敢打赌EAA+08H中被赋值的参数是。。我们在跳转之后新的EIP所在（从技术上来讲，这意味着这条虚拟指令执行的是JNZ，而不是JZ！）

所以。。。

找到VM EIP寄存器了。此时，请你来尝试识别下边这条虚拟指令吧：

我不会给你任何提示。。除了这是使用ESP和EIP的指令。请自行思考。

另一个有趣的点是，你应该始终牢记，在编写VM时，作者并不遵循特定的“规则”。因此，指令并不是一定是标准的。指令可以做任何作者期望的事情。举例来讲，下边这条指令：

你应该注意到了：这里使用了物理ESP寄存器！！为什么呢？这里使用了真正的ESP，然后取虚拟的VM stack设置到了物理栈上。并且通过EDX执行了一个函数调用。这意味着这个虚拟机具备通过在虚拟栈上压入虚拟参数，然后调用这条交换栈空间的虚拟指令（如果你对处理器很了解的话，它通过在特权门之间复制参数以示栈切换），在物理的CPU上执行代码的能力。同时，也需要注意到，物理CPU执行函数的返回值被保存到了VM 上下文的某个地方。。

我花费了半小时逆向了几乎所有的虚拟指令集、寄存器，相信你也可以做到！其中只有一些指令会复杂些，但是对于虚拟机逆向并不是很重要（我的意思是，对于理解通用的结构来说）。

好了，是时候休息一下。很晚了。。。希望你能欣赏这个小小的指导。---Maximus。

2.虚拟机的一般结构

如果我们检查一个虚拟机的一般结构，我们通常会发现一个大循环来负责执行虚拟程序，以获取指令、解码指令、执行指令这种方式来模拟处理器复杂的执行状态。HyperCrackme2就采用了这种虚拟机结构。

1. 建立虚拟机Context
2. 进入虚拟机循环
3. 读取VM.EIP地址处的字节码，检查指令的类型，以下是支持的指令类型：
   1. 二进制指令
   2. 一元指令
   3. 流程控制指令
   4. 特殊指令
   5. 调试指令
   6. NOP和HLT("退出VM")指令。-后者结束虚拟机循环。
4. 跳转到VM循环的起始处。

这个结构足够通用，请牢记在心。从通用的角度来看，每个虚拟机都包含了一下元素：

• VM的初始化块/初始化函数
• 执行VM程序中的指令的循环块/循环函数
• 通用块/函数，用于解码VM指令的参数、寄存器、寻址模式以及VM创造者任何想要解码的东西
• 一个用来执行每个VM指令任务的列表块。这些指令大致相当于现代CPU中用于分解和执行常见ASM指令的微代码。
• 一组宏指令，VM相关，不容易映射到ASM操作码，这些指令可能更难理解。

一个HyperCrackme2初始化结构元素的例子可以通过查看下边这个IDA的注释：

如你所见，这个REST_VM_PROCESS是上边所描述的第2点,而在ja short IS_UNARY_INSTR下边的这部分则是第3.1点。此代码段中的代码，除了清理寄存器之外，预读了第一条指令的OPCODE（VM.EIP指向的字节），然后分析了该OPCODE以选取VM的哪个执行单元来应用于获取的字节码。

现在让我们来看下这个VM的“构建块”，Setup_Binary_Instruction_Params函数，这个函数负责处理二进制VM OPCODE。为了检查下一个代码片段，请记住，EAX包含了我们的VM_CONTEXT。因为我们已经知道了EAX+8指向了VM_EIP。

我认为现在了解我们正在寻找的东西很重要，否则分析将毫无用处。我们正在尝试恢复VM的指令结构，以及关于这个结构更详细的描述。填充二进制指令参数的过程必须知道如何解码二进制指令，所以通过检查字节码如何生成，可以重建VM 指令格式。我们应该期待什么？这严重依赖于指令集的复杂性，因为这完全取决于作者的选择。而这些又是我们必须逆向的。所以，我们始终必须仔细的检查指令的字节码是如何使用的，因为作者可能从这种指令类型变换为另一种指令类型。同时，请记住，VM指令并不总是大小都一样的，因为X86指令大小都是不一样的。。。

你可能无法将下边使用的方法应用于其他VM。每一个VM都使用了自己的操作码和VM结构，因此，你应当首先尝试理解哪些代码片段可以用来提示重建VM结构。

检查一下下边这段代码：

这小段应该是很明确的吧：加载虚拟EIP``[EAX+1]指向的的第二个字节，然后赋值给DL寄存器。在做出详细的注释之前，我们应当始终注意到这段代码仅仅使用了单个字节作为虚拟指令！更进一步的看看。

这小段代码和前边那个实在是太相似了（从概念上来讲）。EAX依然是我们的VM.EIP的地址，此时组成操作码的第三字节被加载到内存中被test（技术上来讲，只是高4位被test，如果你注意到and/shr操作的话）。还要注意后边跟随的指令。EDI包含了我们的VM_CONTEXT的地址。因此，ECX寄存器包含了一个DWORD的索引，这个被VM_CONTEXT应用于索引一个DWORD 指针，这个指针在偏移010H的地方。不知你是否还记得？VM_CONTEXT+010H == VM_ESP。这意味着当ECX是0的时候我们就得到了ESP寄存器的地址。然后如果是1的话，是一个ESP地址之后的一个DWORD，知道ESP之后的第十五个DWORD（半子节范围0-15，你懂的。。。）。因此，我们发现了二进制操作码的的第三字节-至少是高半子节可能的用法。如果我们成功执行了上边那段代码的JZ指令，将会跳转到下边的这段代码：

你可以注意到，这段代码取出了EAX（VM.EIP）后的第一个DWORD然后赋值给EDI。我们知道EDI寄存器包含了VM OPCODE的目标参数！这段代码有助于我们理解第一个DWORD仅用于OPCODE的目的，以及在其之后包含OPCODE参数。

这是目前我们知道的VM_CONTEXT：

继续尝试我们的二进制OPCODE映射到VM_INSTRUCTION格式的分析吧。我们已经在虚拟指令中遇见了offset + 1，offset + 2，看下最后这个吧，offset + 3的：

这个offset+ 3的字节直接使用MOVSX指令加载到了ECX中。你应该已经知道我想说什么了：为什么是 MOVSX？？EDI参数之后和这个字节进行了加法操作， 而EDI中包含着我们的目标参数。为什么这里需要给我们的参数加上一些东西哪？当然是操作数的偏移了。。。

所以，此时我们可以重建一下虚拟指令的结构了：

我同意这部分我们有做太多的注释。原因是这些都是非常依赖于虚拟机的。

3.逆向虚拟机指南

前面章节中显示的步骤是理解VM的重要一步。

• 你可以跳过最初的VM指令结构，只要它不是在每条指令内解密/解码。

• 此刻，我们必须深入的检查指令集来找到一些可以识别的东西，例如NOP指令，也有可能虚拟机根本没有这个指令。

• 一旦指令集明确了，至少在最小程度上， 必须特别小心的寻找可能的VM寄存器的使用方式。最终它们的用法可能并不明确，比如它们可以进行轮转、在每个VM入口重新映射等等。但是我们不需要关心。知识总是增加的，人总是会犯错的---特别是你直觉上滥用Zen来加速你的分析的时候:)

• 我们必须直指VM的心脏，它的解码器。它包含了VM中的所有的重要信息以及VM指令的结构，因为通常它负责调度和执行指令的（预）处理。你必须牢记，解码器通常必须分析VM指令以获取某些东西，比如操作吗长度，参数等。同时，它有可能部分处理是在指令自身中就完成的。制作固定大小的指令（例如，16字节）。

• 然后呢？然后我们必须回到指令集中来，尝试理解具体的，非标准的执行通常不属于VM处理器的职责的OPCODE。（例如，对真实函数的调用，API，计算块等等）。

• 此刻我们应该可以解码大多数VM了，可以尝试调试一两条指令来验证是否如我们所想，VM的寄存器是否符合我们的方案。

• 但是迟早你会编写一种易于DUMP VM程序的代码。你可能会希望有一个IDA插件或者脚本来解码VM程序。或者更简单但是效果稍差，可以编写一个简单的对每一条指令表中指令HOOK 的logger，（简单的讲，编写调试器加载器，在断点事件中使用断点，或者注入dll来HOOK 这个表）。当OPCODE被调用的时候，你的HOOK就DUMP下OPCODE的名称，以及参数。然后你就可以重建程序流程了。一个好用的logger插件是VM.EIP dumper，它允许你为每个VM指令分配正确的KEY，最终具备改变条件跳转结果的可能，因此最终可以跳过那个大循环而只记录VM程序的主要部分。最后，你可以使用logger中的VM.EIP来重新组装大部分的VM程序。

  好吧。我希望这篇文章可以帮助你们更好的理解VM。我看到的常见的教学风格是放置学分，因此非常感谢Community以及我的朋友Zero和HAVOK。

  Regards,

  Maximus

  2006/7/16

原文参见PDF
翻译：zplusplus
校对：sudozhange

翻译完发现文章写于2006年:)，以下是看雪论坛一篇相似的翻译（通过'Zen'关键词找到的:)）。

参考阅读：https://bbs.pediy.com/thread-52165.htm

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。