加密后（1.21自带加密）：

2、根据pNtHeader_OptionalHeader.Magic筛选ESI_Matching_Array数组

首先我们得到的信息有：

1、ESI_Matching_Array每一组是8个字节，一共有0Xcc组，也就是总长度是0x660=8*0xCC

目前已知：

ESI_Matching_Array[0]  == 与Magic有关

ESI_Matching_Array[1]  == ？？

ESI_Matching_Array[2]  == VMOpcode

ESI_Matching_Array[3]  == ？？

ESI_Matching_Array[4]  == ？？

ESI_Matching_Array[5]  == Size

ESI_Matching_Array[6]  == ？？

ESI_Matching_Array[7]  == 未使用，都是0

2、v184数组保存所有结果0或则1

3、第一个判断：v16 = _bittest(v15, Type & 0x7F)成立条件

我们查询汇编指令得知BT是位测试

目前只讨论win32PE结构，Type都是=1

我们发现*(byte*)(ESI_Matching_Array+0)的值只有6(‭0110‬)或则4(‭0100‬)

6=0110     bt 1      第一位的值给CF，就是1，不成立继续执行第二个判断

4=0100     bt 1      第一位的值给CF，就是0，成立v17=0，不继续执行第二个判断

4、总结：

1、v184保存结果的什么时候使用、区别这个有什么意义？1跟0有什么区别？

答：

1表示使用

0表示未使用（后期优化掉）

2、ESI_Matching_Array与VmHandle块对应（我整理了一份，未必全对的只作为参考）

3、判断用户解析Opcode有没有需要特殊处理的指令

这些都是一些不常用的指令，如果存在就在ESIResults[X]=1，表示使用

假设找到的话执行Vmp_GetVmHandleIndex函数

v184==ESIResults就是我们前面筛选的，如果有就在指定位置+1，表示使用

4、将Jmp Handle跟Jmp VMDispatcher分别存储

4、1 Jmp Handle处理方法

首先来看ESI_Matching_Array[0]==6，v52成立的条件

然后拿v214->FunAddr去struc_SaveAllDisasmFunData数组里面找到符合

DateTimeToStr_2函数查找过程，查找到返回该数组下标，然后用GetItem_7读取出该数组：

条件是：v214->FunAddr == struct_DisassemblyFunction->LODWORD_VMP_Address

基础版（struc_SaveAllDisasmFunData）：

然后判断ESIResults[Number_1]==1，如果成立将找到的DisassemblyFunction结构体保存起来

最后将该找到的DisassemblyFunction结构保存到v7->Esi_Addr[4 * Number_1]

4、2 Jmp VMDispatcher处理方法

1、直接去struc_SaveAllDisasmFunData数组查找，找到直接保存

2、与Jmp Handle相比少了ESIResults[Number_1]过滤跟将结果保存到*(_DWORD *)&v7->Esi_Addr[4 * Number_1]

4、3 执行完毕结果

IDA定义的结构体：

OD显示：

4、4 Jmp VMDispatcher与Jmp Handle的含义是什么意思？

如图所示：

Jmp VMDispatcher就是：

注意看jmp short 00474989这一句，每个Handle块执行完毕都是跳回到VMDispatcher进行下一轮字节解析

Jmp Handle就是：

VmpHandle块,每个Handle对应不同的功能

5、根据前面符合Jmp Handle满足条件的Number_1作为循环因子

1、经过前面筛选Number_1=0XCC，一般HandleX与ESI_Matching_Array都是一一对应，大小都是0xCC

2、只是设置的基本的Mod信息跟VmpOpcode=0x23

3、new出来的struct_VmFunctionAddr结构只是设置了助记符=0xB

4、强行扩充到0xFF大小，不足的new struc_SavePartDisasmFunData和struct_VmFunctionAddr结构，具体作用不明

6、将不符合条件的struc_SaveAllDisasmFunData和struc_SavePartDisasmFunData1从数组中删除

1、专门找ESIResults[X] == 0的

2、ESIResults[X]与v7->Esi_Addr[4 * X]一一对应

3、找到VmpOpcode值是：0~9、0xC则退出，符合条件的基本上是：Jmp VMDispatcher找到后把该数组元素删除

4、清零v7->Esi_Addr[4 * X] = 0

5、看了一圈基本上是把整个HandleX解析信息的都删除，jmp XXXX标志结束

6、未被删除的如下：

总结：

1、ESIResults[X]与v7->Esi_Addr[4 * X]一一对应

2、ESIResults[X]==0，那么取对应的v7->Esi_Addr[4 * X]数组内容（struc_SaveAllDisasmFunData结构体）

3、struc_SaveAllDisasmFunData与struc_SavePartDisasmFunData1数组里删除该HandleX信息

4、判断到jmp XXXX为结束点，也就是整个Handle解析的信息都清除掉

5、ESIResults[X]==0就是不使用的了

7、随机数填充struct_VmpOpcodePY_80结构

sub_49FB90函数分析：

sub_49F958函数分析：

1、通过随机数取word_4EE0D8数组的下标，符合条件的跳到赋值的地方

2、退出条件是：要Add添加几组元素由Constant（参数2）决定，外加一句RandInt（1），百分之50%几率再来一次

3、它们使用的结构如下：

总结：

0、变形总结对照

RandomWord_4EE0EC是对add al,bl的变形

RandomWord_4EE0D8是对add bl,al的变形

1、填充这些数据到底怎么使用？

2、struc_47数据使用

我们发现执行完毕后一共有6组

第一组：

struc_47->RandomWord_4EE0D8=0x29 ->inc

struc_47->AddrRandomBuff=0x1

第二组：

struc_47->RandomWord_4EE0D8=0x43 ->rol

struc_47->AddrRandomBuff=0x5

第三组：

struc_47->RandomWord_4EE0D8=0x5C ->not

struc_47->AddrRandomBuff=0x5

第四组：

struc_47->RandomWord_4EE0D8=0x34 ->sub

struc_47->AddrRandomBuff=0xB0

第五组：

struc_47->RandomWord_4EE0D8=0x5C ->not

struc_47->AddrRandomBuff=0x0

第六组：

struc_47->RandomWord_4EE0D8=0x05 ->xor

struc_47->AddrRandomBuff=0x7A

刚好对应以下6句，因为1、3、5是单操作数所以struc_47->AddrRandomBuff不使用

3、struct_VmpOpcodePY_80->RandomWord_4EE0EC使用

第一种RandomWord_4EE0EC=0x4，注意看405069跟40507B这两句是add

第二种RandomWord_4EE0EC=0x34，注意看405069跟40507B这两句是sub

第三种RandomWord_4EE0EC=0x5，注意看405069跟40507B这两句是xor

8、使用struct_VmpOpcodePY_80~A0结构

1、目前发现符合if条件的只有register寻址方式的并且是add aXX,BXX这种，每次都是两条组合出现

2、通过i来区分到底取struct_VmpOpcodePY_80、struct_VmpOpcodePY_84~90、struct_VmpOpcodePY_94~A0其中一组

3、判断v227->RandomWord_4EE0EC！=4

第一种：RandomWord_4EE0EC！=4执行流程

第二种：RandomWord_4EE0EC==4执行流程

1、注意v277的值是struct_VmpOpcodePY_80~A0其中一组内容

2、根据随机值来执行不同的流程填充struct_DisassemblyFunction结构

3、针对第一种RandomWord_4EE0EC！=4执行流程主要是修改add aXX,BXX变成xor或则sub

4、针对第二种RandomWord_4EE0EC==4将第二句add bXX,aXX进行变形

8、1 SetDisassemblyFunction函数分析

如果说Vmp_Disassembly函数是将Opcode解析

那么SetDisassemblyFunction就是将解析后的Opcode再重新组装回去

判断是否存在前缀

根据前面Opcode选择读取对应主操作码，假设该Opcode操作码需要依赖Mod寻址就执行sub_49DFD0

根据ModRm_Mod寻址方式判断，从而构造不同的指令

举例子说明：

VmpOpcode=0x29

执行完毕后，指令就构造完毕：FE C0 对应汇编代码：inc al

总结：

1、设置struct_DisassemblyFunction的内容

2、用struct_DisassemblyFunction 提供的Opcode信息还原回一条完整的汇编指令

8、2 总结：

0、第一次执行才使用struct_VmpOpcodePY_80，非第一次都是使用struct_VmpOpcodePY_84~90或则struct_VmpOpcodePY_94~A0

1、针对壳模板的add指令进行修改变形处理

变形成：

9、保存寄存器环境的代码，注意后面会随机乱序的

原因：

为什么壳起始代码 push环境每次都是乱序的？如何实现的？

对应代码如下：

8个对应8个保存环境的push xxx

笔者为了方便测试所以全写成0，可见0 == push eax跟OD通用寄存器对应顺序一样

乱序代码：

只要打乱数组存放顺序就可以实现乱序了

它们保存在：

struct_VmpOpcode->struc_PushRegister指向的结构体

10、找到lods byte ptr ds:[esi]并保存起来

10、1 构造出PushRegister那几条指令

1、将不符合条件的全部删除，直到找到push 0xFACE0002这条为止

2、因为Vmp保存寄存器环境代码是随机性的，原始壳模板的是固定的所以要替换掉

3、因为 pushfd pushad模板后面必然是push 0xFACE0002

3、根据寄存器不同而设置不同的VmpOpcode，进行构造填充struct_DisassemblyFunction结构

4、返回：lods byte ptr ds:[esi]在数组第几个元素

OD最终效果图如下：

OD数组struc_SaveAllDisasmFunData->ArrayAddress排列顺序如下：

注意 struc_SaveAllDisasmFunData->ArrayAddress排列顺序 就是最终代码显示顺序

10、2 现在该处理lods byte ptr ds:[esi]指令了

0、lods byte ptr ds:[esi]指令介绍：

指令规定源操作数为(DS:SI)，目的操作数隐含为AL（字节）或AX（字）寄存器。三种指令都用于将目的操作数的内容取到AL或AX寄存器，字节还是字操作由寻址方式确定，并根据寻址方式自动修改SI的内容。

一句指令相当于以下两句：

mov al,[esi]

inc esi

1、初始化v245跟v246数组，具体用处待定

2、找到处理的地方Vmp == 0x36

3、struct_DisassemblyFunction结构重新赋值

4、找到该struct_DisassemblyFunction所在的数组位置

5、并重新new个新的struct_DisassemblyFunction

6、根据随机数构造命令：INC、Add、lea，实际上只要实现esi+1都行

7、OD最终效果图：

8、原始模板的

9、前面的构造出了inc esi(add lea)，那么还差一句mov al,[esi]

10、注意v158 = GetRandInt0123((int)&savedregs);这一句是随机获取0~3，也就是Reg：0=al、1=cl、2=dl、3=bl

11、注意这一句跟后面的指令都是有关联的，换了后面影响的指令都要换不同的Reg

10、3 处理Jmp Ret指令

1、通过随机数决定jmp ret指令是变换成：

随机数==2

lea exx,dword ptr ds:[eax*4+0x474FCF]

jmp [exx]

随机数==1

push dword ptr ds:[eax*4+0x4051BB]

retn

2、注意v238 = GetRandInt0123((int)&savedregs);这一句，表示它的Mod.Reg寄存器是随机的0~3

10、4 处理Handle里面的Vmp_Ret函数

0、跟前面一样，将popad复杂化，变成pop eax、pop ecx等等

1、ESI_Matching_Array[2] == VMOpcode,符合条件的是：Vmp_Ret指令（pop xx popad popfd这种）

,{ 0x06,0x01,0x09,0x00,0x00,0x02,0x00,0x00, }

//00474FCB 58 pop eax; 123.0047499B

//00474FCC 61 popad

//00474FCD 9D popfd

,{ 0x06,0x00,0x08,0x00,0x00,0x02,0x01,0x00, }

//00474FC7 58 pop eax; 123.0047499B

//00474FC8 61 popad

//00474FC9 9D popfd

2、将popad跟popfd删除，直到遍历到ret就退出

3、将前面v7->struc_PushRegister保存的寄存器递减方式存储，注意去掉Esp寄存器

4、总结：

原始的：

pop eax

popad

popfd

ret

修改成：

pop eax

pop xx

pop xx

pop xx

xxxxx

ret

11、找到填充虚拟机上下文的Handle块

1、根据GetSize的返回值填充v223数组

2、根据大小跟助记符再过滤一遍Handle块，将符合条件的下标保存起来

3、符合条件的有2处（填充虚拟机上下文的Handle块）：

{ 0x06,0x01,0x01,0x00,0x02,0x02,0x00,0x00, }

//0047499B 80E0 3C and al,0x3C

//0047499E FF3407 push dword ptr ds : [edi + eax]

,{ 0x06,0x01,0x02,0x00,0x02,0x02,0x00,0x00, }

//00474AC3 80E0 3C and al, 0x3C

//00474AC6 8F0407 pop dword ptr ds : [edi + eax]; 123.0047499B

4、未初始化的地方填充随机数

5、效果图：

实际有用的只有22跟0，其他都是随机数填充的

12、总结

1、其实这部分代码都是针对部分特殊指令进行变形替换

例如：jmp可以变成 jmp+ret

例如：lods byte ptr ds:[esi]可以变成 mov aXX,[ESI] INC esi 等等

2、涉及重定位的代码还是没有修复

例如：

push 0xFACE0002

mov edi,0xFACE0003

jmp dword ptr ds:[eax*4+0x474FCF]

jmp short 00474984

3、找到填充虚拟机上下文的两个Handle块

后续章节介绍：

1、剩下重定位修复

2、伪代码构造