[分享]VMP学习笔记之万用门（七）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]VMP学习笔记之万用门（七）

2019-9-14 18:04 25149

[分享]VMP学习笔记之万用门（七）

黑手鱼

2019-9-14 18:04

25149

如果有错误请各位指正

第七章内容：

主题：万用门介绍

1、NOR实现逻辑运算

2、cmp实现（sub）

3、jxx实现

参考资料：

1、破解vmp程序的关键点

2、谈谈vmp的爆破

3、一个VMP1.20程序的伪指令总结

正文：

1、万用门实现逻辑指令

理论知识：

vmp里面只有1个逻辑运算指令 not_not_and 设这条指令为P

P(a,b) = ~a & ~b

这条指令的神奇之处就是能模拟 not and or xor 4条常规的逻辑运算指令

怕忘记了，直接给出公式，后面的数字指需要几次P运算

not(a) = P(a,a) 1

and(a,b) = P(P(a,a),P(b,b)) 3

or(a,b) = P(P(a,b),P(a,b)) 2

xor(a,b) = P(P(P(a,a),P(b,b)),P(a,b)) 5

2、模拟CMP减法指令

理论知识：

参考S大的图

总结：

通过上述我们可以将操作步骤分为两个部分：

1、模拟sub减法指令

~(~a+b)

2、模拟Eflag标志位

int Eflag1 = (~a+b)

int Eflag2 = ~(~a+b)

int Eflag=（Eflag1 and 0x815） +（Eflag2 and ~0x815）

通过试验证明公式：

随便改个demo去加密看看VMP是如何实现的

假设：eax = 77523C33 ebx= 7FFD3000

模拟出正确结果：eax-ebx=F7550C33

模拟出正确标志：Elag287

2、1 模拟减法指令

公式：~(~a+b)

假设：eax = 0x77523C33 ebx= 0x7FFD3000

模拟出正确：eax - ebx = 0xF7550C33

0~2 行模拟出~a a = 0x88ADC3CC

3 行(~A+B) (~A+B) = 0x08AB03CC Eflag1 = 0x207

4 行保存Eflag1

5~6 行取出 (~A+B)的结果

7 行 ~(~a+b) ~(~a+b) =0xF7550C33 Eflag2 = 0x286

8 行保存Eflag2

剩下的cmp跟sub唯一区别：sub保留结果、cmp不保留结果

总结：

我们得到两个关键的数据分别是：

int Eflag1 = (~a+b) 207

int Eflag2 = ~(~a+b) 286

2、2 模拟Eflag标志位

公式：

int Eflag1 = (~a+b)

int Eflag2 = ~(~a+b)

int Eflag=（Eflag1 and 0x815） +（Eflag2 and ~0x815）

第一个ElfagAndConstant模拟出 Eflag1 and 0x815 = 0x5

第二个ElfagAndConstant模拟出 Eflag2 and ~0x815 = 0x282

然后就VM_ADDF = 0x282+0x5= 0x287

最后VM_POP_CONTEXT 保存0x287标志位

细看第一个ElfagAndConstant函数（就是模拟and指令）第二个同理

VM_PUSH_CONTEXT 取 Eflag1 = 0X207

VM_NOR ~Eflag1 = 0XFFFFFFFFFFFFFDF8

VM_PUSH_IMM ~815 = 0X7EA

VM_NOR ~Eflag1 and ~0X7EA = 207 and 815

转了一圈发现是模拟and(a,b) = P(P(a,a),P(b,b)) 3

那么第一个（Eflag1 and 0x815） = 0x207 and 0x815 = 0x7

2、3 题外话

感谢群里小零大佬提供0x811与0x815等价

811其实就是

OF，AF，CF

而

PF，ZF，SF不管是add还是sub，or，and计算出来都是一样的

通过nor计算出PF，ZF，SF和

add出来的标志位合并一下就好了

3、模拟JXX指令

理论知识：

EFLAGS中的状态标志

EFLAGS的状态标志代表什么意思呢？它们代表的是算数指令（arithmetic instruction）的结果状态，算数指令就是大家熟悉的的加减乘除，ADD，SUB，MUL和DIV，当然还有很多其他指令暗含有这些基本的算数指令，比如cmp指令就暗含有sub操作，因此cmp也会影响状态标志。

typedef struct _EFLAGS

{

unsigned CF : 1; // 进位或错位

unsigned Reservel1 : 1; // 对Dr0保存的地址启用全局断点

unsigned PF : 1; // 计算结果低位包含偶数个数1时此标志位1

unsigned Reservel2 : 1; // 对Dr0保存的地址启用全局断点

unsigned AF : 1; // 辅助进位标志当位3处有进位或结尾时该标志为1

unsigned Reservel3 : 1; // 保留

unsigned ZF : 1; // 计算结果为0时此标志位1

unsigned SF : 1; // 符号标志计算结果为负时该标志位1

unsigned TF : 1; // 陷阱标志此标志为1时 CPU每次仅会执行一条指令

unsigned IF : 1; // 中断标志为0时禁止响应（屏蔽中断）为1回复

unsigned DF : 1; // 方向标志

unsigned OF : 1; // 溢出标志计算结果超过表达范围为1 否则为0

unsigned IOPL : 2; //用于标明当前任务的I/0特权级

unsigned NT : 1; // 任务嵌套标志

unsigned Reservel4 : 1; // 对Dr0保存的地址启用全局断点

unsigned RF : 1; // 调试异常相应标志位为1禁止相应指令断点异常

unsigned VM : 1; // 为1时启用虚拟8086模式

unsigned AC : 1; // 内存对齐检查标志

unsigned VIF : 1; // 虚拟中断标志

unsigned VIP : 1; // 虚拟中断标志

unsigned ID : 1; // cpuID检查标志

unsigned Reservel5 : 1; // 保留

}EFLAGS, *PEFLAGS;

关系运算和条件跳转的对应

通过试验证明公式：

随便改个demo去加密看看VMP是如何实现的

jxx需要保存了两个地址信息分别是：跳转成立（401005）与跳转不成立（401004）两种

总结：

1、jxx我们需要准备两个跳转地址。

2、判断Eflag特定位数的值是否为1，然后进行相应的跳转

3、我们写的demo中ZF标志位必然是成立的，jz XXX是跳的401005

3、1 实践（ZF）

1、关于jxx处理的函数地址，只关注0x32的jxx系列

2、首先Push两个加密跳转地址，后面根据运算结果来判断使用哪个地址

具体跳转地址A还是地址B取决于前面一句cmp ebx,ebx

3、计算出Eflags右移X位 > Size，我们的例子flags是0x40，Size_1=4,那么v8就是4次了

4、首先取Eflags标志位，再压入~0x40入栈，最后再进行NOR（~0x40, Eflags ）操作

可以简化成0x40 and ~ Eflags

5、根据VM_NOR结果取决使用哪个地址：+0地址1 +4地址2

6、总结下前面流程

整理下流程（数据参考demo）可以分为三步骤：

1、保存跳转地址A和B

2、计算eflags zf的数值，返回对应的结果

公式：

ZF = 0x40 and ~ELFGS

3、根据结果ADD进行跳转地址A或B

伪代码如下：

7、OD实战数据

VM_PUSH_IMM 加密地址A入栈(401004)

0012FF88 4C69E901 加密地址A

VM_PUSH_IMM 加密地址B入栈(401005)

0012FF84 4C69F601 加密地址B

0012FF88 4C69E901 加密地址A

VM_PUSH_ESP

0012FF80 0012FF84 保存ESP，后面+0还是+4来指向加密地址A、B

0012FF84 4C69F601

0012FF88 4C69E901

VM_PUSH_IMMW 配合后面的SHR或SHL

0012FF7E FF840004 注意这个4，后面与VM_NOR的结果做运算

VM_PUSH_CONTEXT 取ELFGS标志位

0012FF7A 00000246 这里取出了Elfgs的值，前面cmp ebx,ebx执行完毕的值

PUSH_IMM

0012FF76 FFFFFFBF 保存~0x40的值，后面要跟Elfgs运算

VM_NOR

0012FF7A 00000000 0x40 and ~0x246 = 0 ,相同0，不同0x40

VM_SHR 注意这里是区分跳转A和B的关键

0012FF7C 00000000 相同=0，不同=4

0012FF80 0012FF84

0012FF84 4C69F601

0012FF88 4C69E901

ADD_F 判断+0还是+4来指向加密跳转地址A还是B

0012FF80 0012FF84 根据SHR的结果 0(4) + 0x12FF84

0012FF84 4C69F601

0012FF88 4C69E901

VM_MOV_XSA_TO_B 取地址的值

0012FF80 4C69F601

0012FF84 4C69F601

0012FF88 4C69E901

后面的操作就是解密跳转地址，然后设置Esi的值跳到401005执行。懒的写下去了，核心都写完了。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2019-9-14 18:17 被黑手鱼编辑，原因：

上传的附件：

VMP学习笔记之万用门（七）.pdf （1.01MB，95次下载）

收藏・50

点赞・9

打赏

最新回复 (9)
Editor 雪币： 17790 活跃值： (59973) 能力值： (RANK：125 ) 在线值：发帖 1201 回帖 2882 粉丝 1485 关注私信	Editor 2019-9-14 19:14 2 楼 0 前排沙发！感谢楼主分享！
xuanzee 雪币： 484 活跃值： (754) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -1 回帖 23 粉丝 0 关注私信	xuanzee 2019-9-14 23:14 3 楼 0 大佬6去哪里了
黑手鱼雪币： 1321 活跃值： (3647) 能力值： ( LV9，RANK：220 ) 在线值：发帖 17 回帖 103 粉丝 66 关注私信	黑手鱼 3 2019-9-14 23:28 4 楼 0 xuanzee 大佬6去哪里了没整理就没发了后面有空再发最后于 2019-9-14 23:31 被黑手鱼编辑，原因：
jgs 雪币： 10711 活跃值： (4073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 439 粉丝 7 关注私信	jgs 2019-9-15 18:28 5 楼 0 搞懂后，爆破的方法之一
xingbing 雪币： 177 活跃值： (1886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1132 粉丝 2 关注私信	xingbing 2019-9-16 19:25 6 楼 0 精品，1-6在哪里·？
黑手鱼雪币： 1321 活跃值： (3647) 能力值： ( LV9，RANK：220 ) 在线值：发帖 17 回帖 103 粉丝 66 关注私信	黑手鱼 3 2019-10-13 00:18 7 楼 0 xingbing 精品，1-6在哪里·？最后于 2019-10-13 00:25 被黑手鱼编辑，原因：
白菜大哥雪币： 12500 活跃值： (3038) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 593 粉丝 13 关注私信	白菜大哥 2020-2-5 09:56 8 楼 1 精彩，看完这部分内容，感觉还原还是可行的。比如虚拟了cmp、test、sub、and，那么我们可以运算根据前后的内容，以及屏蔽的mask，结合最终的eflasg和result运算结果，化简一些公式，简单确定出这是个and还是cmp（要是觉得化简麻烦可以自己用计算器计算），最终得出 vm_calculate a，b这种形式；如果后面还有jcc指令被虚拟了，我们需要查一下手册的eflags结合一些mask的动态数据815等等，确定他取了哪些eflags位，是zf还是cf，至于jcc的两个目的地址，需要找到前面push imm中的imm和后面shr后的两种结果，利用v_addf加上来，组合成 imm+a和imm+b的形式，这样还原出的指令就是两条指令 jcc imm+a jncc imm+b 现在比较麻烦的就是，前面的各种混淆和乱序，会影响我们看到完整的指令，也就是说我们看不到handle，针对这个，我是利用x32dbg的python脚本，我的脚本原理是：在vm入口处（也可以是片段处）停下，unicorn模拟部分代码，然后脚本去混淆，这样会得到我们想要的一些handle的位置，输出到一个txt文本，然后我们根据这个txt分析哪些地方需要下断，我们就同样脚本下断，然后把那些内存实际的值记录下来，这样既可以得到实际运行的数据又可以得到干净的handle。以后不论是做破解还是patch，都会方便很多。
sanganlei 雪币： 2379 活跃值： (4225) 能力值： ( LV4，RANK：40 ) 在线值：发帖 15 回帖 7 粉丝 78 关注私信	sanganlei 2023-12-4 10:48 10 楼 0
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

黑手鱼

发帖

103

回帖

220

RANK

关注

私信

他的文章

[分享]VMP学习笔记之万用门（七）

[分享]VMP学习笔记之壳的重定位修复（五）

[分享]VMP学习笔记之壳基础流程（一）

[分享]VMP学习笔记之Handle块优化与壳模板初始化（四）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
Editor 雪币： 17790 活跃值： (59973) 能力值： (RANK：125 ) 在线值：发帖 1201 回帖 2882 粉丝 1485 关注私信	Editor 2019-9-14 19:14 2 楼 0 前排沙发！感谢楼主分享！
xuanzee 雪币： 484 活跃值： (754) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -1 回帖 23 粉丝 0 关注私信	xuanzee 2019-9-14 23:14 3 楼 0 大佬6去哪里了
黑手鱼雪币： 1321 活跃值： (3647) 能力值： ( LV9，RANK：220 ) 在线值：发帖 17 回帖 103 粉丝 66 关注私信	黑手鱼 3 2019-9-14 23:28 4 楼 0 xuanzee 大佬6去哪里了没整理就没发了后面有空再发最后于 2019-9-14 23:31 被黑手鱼编辑，原因：
jgs 雪币： 10711 活跃值： (4073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 439 粉丝 7 关注私信	jgs 2019-9-15 18:28 5 楼 0 搞懂后，爆破的方法之一
xingbing 雪币： 177 活跃值： (1886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1132 粉丝 2 关注私信	xingbing 2019-9-16 19:25 6 楼 0 精品，1-6在哪里·？
黑手鱼雪币： 1321 活跃值： (3647) 能力值： ( LV9，RANK：220 ) 在线值：发帖 17 回帖 103 粉丝 66 关注私信	黑手鱼 3 2019-10-13 00:18 7 楼 0 xingbing 精品，1-6在哪里·？最后于 2019-10-13 00:25 被黑手鱼编辑，原因：
白菜大哥雪币： 12500 活跃值： (3038) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 593 粉丝 13 关注私信	白菜大哥 2020-2-5 09:56 8 楼 1 精彩，看完这部分内容，感觉还原还是可行的。比如虚拟了cmp、test、sub、and，那么我们可以运算根据前后的内容，以及屏蔽的mask，结合最终的eflasg和result运算结果，化简一些公式，简单确定出这是个and还是cmp（要是觉得化简麻烦可以自己用计算器计算），最终得出 vm_calculate a，b这种形式；如果后面还有jcc指令被虚拟了，我们需要查一下手册的eflags结合一些mask的动态数据815等等，确定他取了哪些eflags位，是zf还是cf，至于jcc的两个目的地址，需要找到前面push imm中的imm和后面shr后的两种结果，利用v_addf加上来，组合成 imm+a和imm+b的形式，这样还原出的指令就是两条指令 jcc imm+a jncc imm+b 现在比较麻烦的就是，前面的各种混淆和乱序，会影响我们看到完整的指令，也就是说我们看不到handle，针对这个，我是利用x32dbg的python脚本，我的脚本原理是：在vm入口处（也可以是片段处）停下，unicorn模拟部分代码，然后脚本去混淆，这样会得到我们想要的一些handle的位置，输出到一个txt文本，然后我们根据这个txt分析哪些地方需要下断，我们就同样脚本下断，然后把那些内存实际的值记录下来，这样既可以得到实际运行的数据又可以得到干净的handle。以后不论是做破解还是patch，都会方便很多。
sanganlei 雪币： 2379 活跃值： (4225) 能力值： ( LV4，RANK：40 ) 在线值：发帖 15 回帖 7 粉丝 78 关注私信	sanganlei 2023-12-4 10:48 10 楼 0
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复