-
-
[原创]自写保护壳交流——指令的膨胀和花指令的插入
-
发表于: 2019-3-23 13:20
-
二、混淆地址管理器( 也叫全局地址管理器,因为vm框架也是用这个地址管理器 ) 在代码混淆过程中,你并不知道接下来的代码区块将会被膨胀到多大,所以必须要一个地址管理器来确定下一区块的大小。 首先要将地址分块,按照去除重定位(401000 处加载基址)的方式分配地址:
代码块1 : address 0x40B016
代码块2 : address xxx
代码块3:address xxx
使用地址管理器将代码块的地方分配并连接起来达到如下效果:
混淆分块后效果图:
1.区块划分
[DBGLOG]:代码块0,区块属性 JCC
mov eax, 0x1
cmp eax, 0x2
jz 0x40100e
[DBGLOG]:代码块1,区块属性 NULL
add eax, 0x1
inc eax
[DBGLOG]:代码块2,区块属性 JCC
mov eax, eax
add eax, 0x1
cmp eax, 0x1
jnz 0x40101d
[DBGLOG]:代码块3,区块属性 NULL
mov eax, eax
add eax, 0x1
[DBGLOG]:代码块4,区块属性 JCC
add eax, 0x1
dec eax
cmp eax, 0x2
jz 0x40102b
[DBGLOG]:代码块5,区块属性 NULL
mov eax, eax
add eax, 0x1
[DBGLOG]:代码块6,区块属性 JCC
mov eax, eax
mov eax, eax
dec eax
cmp eax, 0x3
jnz 0x40103a
[DBGLOG]:代码块7,区块属性 NULL
mov eax, eax
add eax, 0x1
[DBGLOG]:代码块8,区块属性 End
sub eax, 0x1
mov eax, eax
[DBGLOG] 地址:00401000,代码块:0
[DBGLOG] 地址:0040100a,代码块:1
[DBGLOG] 地址:0040100e,代码块:2
[DBGLOG] 地址:00401018,代码块:3
[DBGLOG] 地址:0040101d,代码块:4
[DBGLOG] 地址:00401026,代码块:5
[DBGLOG] 地址:0040102b,代码块:6
[DBGLOG] 地址:00401035,代码块:7
[DBGLOG] 地址:0040103a,代码块:8
push eax mov eax,imm xor eax,0x22222 sub eax,0x111111 push eax mov eax,dword ptr[esp+0x4]
void CodeObfuscationEngine::_insert_flower_code(asmjit::X86Assembler *& _a)
{
if (_insert_junk_code_number % 100 > _flower_code)
return;
int r = rand() % 3;
switch (r)
{
case 0:
{
Label label = _a->newLabel();
_a->jmp(label);
_a->db(0xE8);
_a->bind(label);
}break;
case 1:
{
Label label = _a->newLabel();
_a->jmp(label);
_a->db(0xE9);
_a->bind(label);
}break;
case 2:
{
Label label = _a->newLabel();
int addr = rand() % 0x66 + 0x5;
_a->call(label);
_a->db(0x74);
_a->db(addr);
_a->bind(label);
_a->add(esp, 4);
}break;
default:
break;
}
|
|
|---|---|
|
|
 我也在研究这个,但学生狗目前没办法摸到电脑,能不能私发一下我群号?
|
|
|
已发 |
|
|
已加群
|
|
|
|
|
|
|
|
|
现在还研究壳的已经不多了,LZ是准备商业化吗,可能是未来的竞争对手
这个不能简单的进行算术替换,你没考虑标记位问题,大多数时候是没问题的,但是要是遇到下面这样的代码,你直接在中间插入算术运算就标记位就会出问题。
cmp eax, 0 push 0x123456 jnz xxx |
|
|
谢谢! |
|
|
mapo大佬  ,我可以研究你们的Mapoengine么 挑战一下
|
|
|
谢谢 demoscene 指出这个问题。算数运算指令是会改变eflage标志寄存器,之前想push 中间寄存器的时候将flage寄存器也压栈保存一下,不过这样做特征太明显,很容易被定位针对,还没有想到什么好的方法。 目前在修PE模块的重定位模块,单独处理混淆部分的重定位数据。这样混淆起来就不必考虑必须模拟需要修正重定位部分的代码。 在写壳的过程中我发现如果只是自己的壳保护自己的代码是比较容易的,碰到问题可以很快解决,如果写一个商用的壳真的需要考虑很多东西,因为总有一些在测试中不会出现的问题出现在计划之外,所以商业化应该是很遥远的事情,不过即使商业化也不会做成网络验证的,应该是一套保护系统,壳只是其中一部分。 我是自己在做这个东西,平时上班很忙、加上没什么人交流所以进度很慢,希望可以有些志同道合的小伙伴多多交流 |
|
|
|
|
|
|
|
|
除了你的帖子 https://bbs.pediy.com/thread-250431.htm 大家也可以去看看 https://bbs.pediy.com/thread-223629.htm 这个demo写的也挺好 |
|
|
我没说自己写的好,这种github上很多代码,我想喷的是你居然当个宝贝一样,还只发图不发代码,版主还给了精华。我发了代码不求精华。 |
|
|
|
|
|
这个写得太挫了,经不起大佬们的研究,还是研究VMP吧 
|
|
|
稻哥还是这么热血,有文章讲原理也是一种分享 |
|
|
麻婆大哥讲的有道理,别喊稻哥,承受不起。 
|
|
|
|
|
|
谢谢小零的解析,tmd的混淆技术已经相当成熟了,我也明白这个混淆引擎写下去会很像它。 我示意的push imm 混淆其实之所以没有处理标记位是急于想找人交流,直接从vm框架中 vmhandle 加解密里面直接拿出来用的,vm框架中veip指令流是按小零说的将pcode 用加减 not xor rol ror等随机加密的。 因为写壳是小众中的小众,所以一直没有完整的学习框架,大家都是在摸索中学习,却不把知识传承。这也可能导致大家一直在学这些东西,但没办法能站在巨人的肩膀上继续创新的原因。 map1.3的虚拟机像vmp2.x 的原因我想可能是他写壳的时候3.x 没出来,我现在的虚拟机是3.x 架构,因为打算写壳的时候3.x 授权分析都已经出来了。在保护强度其实大家都是在消磨crack 者们的耐心。所以时至今日对我来说,代码已经不重要了,重要的有一种思路,一种新的思想。
最后于 2019-3-26 20:18
被Wszzy编辑
,原因:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
三十二变
ilyzqe
