-
-
[原创] 手动分析VMP加密的x64驱动导入表
-
2019-1-4 15:51
-
VMP保护的导入表 会把FF 25 offset (call qword ptr[rip+offset])修改为E8 call
跟进去可以看到先保存了rdi,后面rdi会用于堆栈平衡以及修正返回地址
然后返回地址也就是+BE081 int 3那一行的地址被保存到rdi
rdi被加一之后又填充回返回地址,也就是让返回地址跳过int 3指向正确的BE082 test eax, eax那一行
这几步相当于解密导入函数地址,从[imagebase+37DF6+14B606] + 3DDC1A68处取出函数地址放入[rsp]中
我们用模拟器验证一下
[imagebase+37DF6+14B606] + 3DDC1A68 确实= fffff800007165c8=RtlGetVersion
uint64_t RtlGetVersion_import = 0; uc_mem_read(ctx.m_uc, ctx.m_ImageBase + 0x37DF6 + 0x14B606, &RtlGetVersion_import, 8); RtlGetVersion_import += 0x3DDC1A68; std::wstring RtlGetVersion_importfrom; FakeAPI_t *RtlGetVersion_importapi = NULL; if (ctx.FindAPIByAddress(RtlGetVersion_import, RtlGetVersion_importfrom, &RtlGetVersion_importapi)) *outs << "[ ctx.m_ImageBase + 0x37DF6 + 0x14B606]+0x3DDC1A68 = " << std::hex << RtlGetVersion_import << "name: " << RtlGetVersion_importapi->ProcedureName << "\n";
最后一步retn直接飞向[rsp]也就是刚才计算出的API地址并让最开始push rdi 减少的rsp恢复
按照这个思路稍加修改甚至可以实现一键脱vmp壳,只要用脚本定位所有api call的地址,修复导入表
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
最后于 2019-1-4 15:53
被hzqst编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我在之前的帖子里发过 |
|
|
|
|
|
|
|
|
|
|
|
|
