参考资料：

本文大量内容抄袭看雪作者：waiWH的VMP系列

1、名称：谈谈vmp的还原(2)

网址：https://bbs.pediy.com/thread-225278.htm

2、名称：汇编指令之OpCode快速入门

网址：https://bbs.pediy.com/thread-113402.htm

3、名称：X86指令编码内幕 --- 指令 Opcode 码

网址：https://blog.csdn.net/xfcyhuang/article/details/6230542

说明：

1、流程 == 加密函数个数（一般demo版本只允许加密一个流程）

2、用户代码跟壳自身代码（模板）都会用Vmp_AllDisassembly函数解析

2、1 保存用户代码结构体

它们0x8跟0x10都是指向相同的结构体

2、2 保存壳自身模板结构体

它们0x8跟0x10都是指向相同的结构体

3、我比较了下1.10跟1.21，发现1.21自带Encoding of a p-code保护

1.10

未加密前的一般长这样子（1.10未启用加密的）：

加密后（1.21自带加密）：

壳主要干了什么？

1、初始化壳模板：指令变形、等价替换

例如：

jmp = push + retn 或则 lea + jmp

lods byte ptr ds:[esi] = mov al,[esi] + inc esi 或则 mov al,[esi] + add esi,1

等等

2、优化Handle块代码，将不使用的直接删除

ESIResults[X] == 0表示不使用，这种就会优化

ESIResults[X] == 1表示使用

3、找出填充虚拟机上下文的两个Handle块

正文：

1、找出壳模板push 0xFACE0002与mov edi,0xFACE0003

总结：

1、循环遍历作者设计的Handle块找到符合条件的例如：

规律if(v227 & 0xFFFFFF00) == 0xFACE0000

2、所使用的结构体如下：

2、根据pNtHeader_OptionalHeader.Magic筛选ESI_Matching_Array数组

首先我们得到的信息有：

1、ESI_Matching_Array每一组是8个字节，一共有0Xcc组，也就是总长度是0x660=8*0xCC

目前已知：

ESI_Matching_Array[0]  == 与Magic有关

ESI_Matching_Array[1]  == ？？

ESI_Matching_Array[2]  == VMOpcode

ESI_Matching_Array[3]  == ？？

ESI_Matching_Array[4]  == ？？

ESI_Matching_Array[5]  == Size

ESI_Matching_Array[6]  == ？？

ESI_Matching_Array[7]  == 未使用，都是0

2、v184数组保存所有结果0或则1

3、第一个判断：v16 = _bittest(v15, Type & 0x7F)成立条件

我们查询汇编指令得知BT是位测试

目前只讨论win32PE结构，Type都是=1

我们发现*(byte*)(ESI_Matching_Array+0)的值只有6(‭0110‬)或则4(‭0100‬)

6=0110     bt 1      第一位的值给CF，就是1，不成立继续执行第二个判断

4=0100     bt 1      第一位的值给CF，就是0，成立v17=0，不继续执行第二个判断

4、总结：

1、v184保存结果的什么时候使用、区别这个有什么意义？1跟0有什么区别？

答：

1表示使用

0表示未使用（后期优化掉）

2、ESI_Matching_Array与VmHandle块对应（我整理了一份，未必全对的只作为参考）

3、判断用户解析Opcode有没有需要特殊处理的指令

这些都是一些不常用的指令，如果存在就在ESIResults[X]=1，表示使用

假设找到的话执行Vmp_GetVmHandleIndex函数

v184==ESIResults就是我们前面筛选的，如果有就在指定位置+1，表示使用

4、将Jmp Handle跟Jmp VMDispatcher分别存储

4、1 Jmp Handle处理方法

首先来看ESI_Matching_Array[0]==6，v52成立的条件

然后拿v214->FunAddr去struc_SaveAllDisasmFunData数组里面找到符合

DateTimeToStr_2函数查找过程，查找到返回该数组下标，然后用GetItem_7读取出该数组：

条件是：v214->FunAddr == struct_DisassemblyFunction->LODWORD_VMP_Address

基础版（struc_SaveAllDisasmFunData）：

然后判断ESIResults[Number_1]==1，如果成立将找到的DisassemblyFunction结构体保存起来

最后将该找到的DisassemblyFunction结构保存到v7->Esi_Addr[4 * Number_1]

4、2 Jmp VMDispatcher处理方法

1、直接去struc_SaveAllDisasmFunData数组查找，找到直接保存

2、与Jmp Handle相比少了ESIResults[Number_1]过滤跟将结果保存到*(_DWORD *)&v7->Esi_Addr[4 * Number_1]

4、3 执行完毕结果

IDA定义的结构体：

OD显示：

4、4 Jmp VMDispatcher与Jmp Handle的含义是什么意思？

如图所示：

Jmp VMDispatcher就是：

注意看jmp short 00474989这一句，每个Handle块执行完毕都是跳回到VMDispatcher进行下一轮字节解析

Jmp Handle就是：

VmpHandle块,每个Handle对应不同的功能

5、根据前面符合Jmp Handle满足条件的Number_1作为循环因子

1、经过前面筛选Number_1=0XCC，一般HandleX与ESI_Matching_Array都是一一对应，大小都是0xCC

2、只是设置的基本的Mod信息跟VmpOpcode=0x23

3、new出来的struct_VmFunctionAddr结构只是设置了助记符=0xB

4、强行扩充到0xFF大小，不足的new struc_SavePartDisasmFunData和struct_VmFunctionAddr结构，具体作用不明

6、将不符合条件的struc_SaveAllDisasmFunData和struc_SavePartDisasmFunData1从数组中删除

1、专门找ESIResults[X] == 0的

2、ESIResults[X]与v7->Esi_Addr[4 * X]一一对应

3、找到VmpOpcode值是：0~9、0xC则退出，符合条件的基本上是：Jmp VMDispatcher找到后把该数组元素删除

4、清零v7->Esi_Addr[4 * X] = 0

5、看了一圈基本上是把整个HandleX解析信息的都删除，jmp XXXX标志结束

6、未被删除的如下：

总结：

1、ESIResults[X]与v7->Esi_Addr[4 * X]一一对应

2、ESIResults[X]==0，那么取对应的v7->Esi_Addr[4 * X]数组内容（struc_SaveAllDisasmFunData结构体）

3、struc_SaveAllDisasmFunData与struc_SavePartDisasmFunData1数组里删除该HandleX信息

4、判断到jmp XXXX为结束点，也就是整个Handle解析的信息都清除掉

5、ESIResults[X]==0就是不使用的了

7、随机数填充struct_VmpOpcodePY_80结构

sub_49FB90函数分析：

sub_49F958函数分析：

1、通过随机数取word_4EE0D8数组的下标，符合条件的跳到赋值的地方

2、退出条件是：要Add添加几组元素由Constant（参数2）决定，外加一句RandInt（1），百分之50%几率再来一次

3、它们使用的结构如下：

总结：

0、变形总结对照

RandomWord_4EE0EC是对add al,bl的变形

RandomWord_4EE0D8是对add bl,al的变形

1、填充这些数据到底怎么使用？

2、struc_47数据使用

我们发现执行完毕后一共有6组

第一组：

struc_47->RandomWord_4EE0D8=0x29 ->inc

struc_47->AddrRandomBuff=0x1

第二组：

struc_47->RandomWord_4EE0D8=0x43 ->rol

struc_47->AddrRandomBuff=0x5

第三组：

struc_47->RandomWord_4EE0D8=0x5C ->not

struc_47->AddrRandomBuff=0x5

第四组：

struc_47->RandomWord_4EE0D8=0x34 ->sub

struc_47->AddrRandomBuff=0xB0

第五组：

struc_47->RandomWord_4EE0D8=0x5C ->not

struc_47->AddrRandomBuff=0x0

第六组：

struc_47->RandomWord_4EE0D8=0x05 ->xor

struc_47->AddrRandomBuff=0x7A

刚好对应以下6句，因为1、3、5是单操作数所以struc_47->AddrRandomBuff不使用

3、struct_VmpOpcodePY_80->RandomWord_4EE0EC使用

第一种RandomWord_4EE0EC=0x4，注意看405069跟40507B这两句是add

第二种RandomWord_4EE0EC=0x34，注意看405069跟40507B这两句是sub

第三种RandomWord_4EE0EC=0x5，注意看405069跟40507B这两句是xor

8、使用struct_VmpOpcodePY_80~A0结构

1、目前发现符合if条件的只有register寻址方式的并且是add aXX,BXX这种，每次都是两条组合出现

2、通过i来区分到底取struct_VmpOpcodePY_80、struct_VmpOpcodePY_84~90、struct_VmpOpcodePY_94~A0其中一组

3、判断v227->RandomWord_4EE0EC！=4

第一种：RandomWord_4EE0EC！=4执行流程

第二种：RandomWord_4EE0EC==4执行流程

1、注意v277的值是struct_VmpOpcodePY_80~A0其中一组内容

2、根据随机值来执行不同的流程填充struct_DisassemblyFunction结构

3、针对第一种RandomWord_4EE0EC！=4执行流程主要是修改add aXX,BXX变成xor或则sub

4、针对第二种RandomWord_4EE0EC==4将第二句add bXX,aXX进行变形

8、1 SetDisassemblyFunction函数分析

如果说Vmp_Disassembly函数是将Opcode解析

那么SetDisassemblyFunction就是将解析后的Opcode再重新组装回去

判断是否存在前缀

根据前面Opcode选择读取对应主操作码，假设该Opcode操作码需要依赖Mod寻址就执行sub_49DFD0

根据ModRm_Mod寻址方式判断，从而构造不同的指令

举例子说明：

VmpOpcode=0x29

执行完毕后，指令就构造完毕：FE C0 对应汇编代码：inc al

总结：

1、设置struct_DisassemblyFunction的内容

2、用struct_DisassemblyFunction 提供的Opcode信息还原回一条完整的汇编指令

8、2 总结：

0、第一次执行才使用struct_VmpOpcodePY_80，非第一次都是使用struct_VmpOpcodePY_84~90或则struct_VmpOpcodePY_94~A0

1、针对壳模板的add指令进行修改变形处理

变形成：

9、保存寄存器环境的代码，注意后面会随机乱序的

原因：

为什么壳起始代码 push环境每次都是乱序的？如何实现的？

对应代码如下：

8个对应8个保存环境的push xxx

笔者为了方便测试所以全写成0，可见0 == push eax跟OD通用寄存器对应顺序一样

乱序代码：

只要打乱数组存放顺序就可以实现乱序了

它们保存在：

struct_VmpOpcode->struc_PushRegister指向的结构体

10、找到lods byte ptr ds:[esi]并保存起来

10、1 构造出PushRegister那几条指令

1、将不符合条件的全部删除，直到找到push 0xFACE0002这条为止

2、因为Vmp保存寄存器环境代码是随机性的，原始壳模板的是固定的所以要替换掉

3、因为 pushfd pushad模板后面必然是push 0xFACE0002

3、根据寄存器不同而设置不同的VmpOpcode，进行构造填充struct_DisassemblyFunction结构

4、返回：lods byte ptr ds:[esi]在数组第几个元素

OD最终效果图如下：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)