-
-
[原创]对VM逆向的分析(CTF)(比较经典的一个虚拟机逆向题目)
-
2021-5-18 21:02
-
2020GKCTF-EzMachine(很典型的一个VMRe)
简单的vm-re框架
虚拟机就是要去模仿一个机器,让机器去执行一个文件(类似用win10去执行一个文件)
首先它需要一些在CPU中的寄存器和内存中的堆栈,这样去模拟一个CPU不断的去读取指令
主要是以循环的形式进行读取
1.在全局变量中分配如下内容:
这里就构成了CPU+内存
2.模拟一个CPU读取指令的形式(dispatcher)去写这样一个主程序
主程序:其实就是一个循环,这个循环不断的去读取指令(伪机器码opcode)这个会存在于内存中或文件中,然后执行指令opcode所对应的一些函数(其实这些函数可以理解为伪汇编的执行过程,比如就像一些add,sub,pop,push,jmp等操作),这样下来就可以与真实的程序执行相差无几
WriteUp
拿到程序之后先查壳,发现无壳之后运行一下查看,只有一个plz input:
我们将其直接拖入ida中进行查看
左侧函数窗口CTRL+F查找main函数
跳转到main函数之后发现有个花指令
将地址0x401594处的0xB8换成0x90(nop的硬编码)即可
然后P一下main函数按Tab进行反汇编
如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | int __cdecl main(int argc, const char **argv, const char **envp){ unsigned int i; // [esp+10h] [ebp-8h] sub_6914F0(); while ( 1 ) {LABEL_2: for ( i = 0; ; i += 2 ) { if ( i >= 0x58 ) goto LABEL_2; if ( dword_6D48F0[4 * i] == opcode_team[ei_p] )// opcode_team存在于内存中的伪机器码(指令) break; } dispatcher[i](); // 模拟一个CPU不断的去执行指令(其实就是根据opcode去执行一些模拟汇编的一些函数) }} |
dispatcher就是去实现模拟CPU读取指令
opcode_team就是存在于内存中(也可存在于文件中)的opcode(伪机器码)
点开dispatcher,如下(这里就是一些模拟汇编的伪汇编函数),依次进行分析:
分析之后的:
分析过程:(不一一举例,举几个例子)
什么也没做,就只是++了eip,说明该函数模拟的是NOP
这里点击过去发现了连续的一个数组和一些字符串数据,说明模拟的是内存和CPU中的寄存器
这里模拟的就是mov reg, data
又比如sub_691070
这个模拟的就是push data,同时我们也在内存中找到了模拟栈
以此类推,将全部伪汇编的函数分析出来,然后写出解析脚本:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 | opcode_team = [0x01, 0x03, 0x03, 0x05, 0x00, 0x00, 0x11, 0x00, 0x00, 0x01, 0x01, 0x11, 0x0C, 0x00, 0x01, 0x0D, 0x0A, 0x00, 0x01, 0x03, 0x01, 0x05, 0x00, 0x00, 0xFF, 0x00, 0x00, 0x01, 0x02, 0x00, 0x01, 0x00, 0x11, 0x0C, 0x00, 0x02, 0x0D, 0x2B, 0x00, 0x14, 0x00, 0x02, 0x01, 0x01, 0x61, 0x0C, 0x00, 0x01, 0x10, 0x1A, 0x00, 0x01, 0x01, 0x7A, 0x0C, 0x00, 0x01, 0x0F, 0x1A, 0x00, 0x01, 0x01, 0x47, 0x0A, 0x00, 0x01, 0x01, 0x01, 0x01, 0x06, 0x00, 0x01, 0x0B, 0x24, 0x00, 0x01, 0x01, 0x41, 0x0C, 0x00, 0x01, 0x10, 0x24, 0x00, 0x01, 0x01, 0x5A, 0x0C, 0x00, 0x01, 0x0F, 0x24, 0x00, 0x01, 0x01, 0x4B, 0x0A, 0x00, 0x01, 0x01, 0x01, 0x01, 0x07, 0x00, 0x01, 0x01, 0x01, 0x10, 0x09, 0x00, 0x01, 0x03, 0x01, 0x00, 0x03, 0x00, 0x00, 0x01, 0x01, 0x01, 0x06, 0x02, 0x01, 0x0B, 0x0B, 0x00, 0x02, 0x07, 0x00, 0x02, 0x0D, 0x00, 0x02, 0x00, 0x00, 0x02, 0x05, 0x00, 0x02, 0x01, 0x00, 0x02, 0x0C, 0x00, 0x02, 0x01, 0x00, 0x02, 0x00, 0x00, 0x02, 0x00, 0x00, 0x02, 0x0D, 0x00, 0x02, 0x05, 0x00, 0x02, 0x0F, 0x00, 0x02, 0x00, 0x00, 0x02, 0x09, 0x00, 0x02, 0x05, 0x00, 0x02, 0x0F, 0x00, 0x02, 0x03, 0x00, 0x02, 0x00, 0x00, 0x02, 0x02, 0x00, 0x02, 0x05, 0x00, 0x02, 0x03, 0x00, 0x02, 0x03, 0x00, 0x02, 0x01, 0x00, 0x02, 0x07, 0x00, 0x02, 0x07, 0x00, 0x02, 0x0B, 0x00, 0x02, 0x02, 0x00, 0x02, 0x01, 0x00, 0x02, 0x02, 0x00, 0x02, 0x07, 0x00, 0x02, 0x02, 0x00, 0x02, 0x0C, 0x00, 0x02, 0x02, 0x00, 0x02, 0x02, 0x00, 0x01, 0x02, 0x01, 0x13, 0x01, 0x02, 0x04, 0x00, 0x00, 0x0C, 0x00, 0x01, 0x0E, 0x5B, 0x00, 0x01, 0x01, 0x22, 0x0C, 0x02, 0x01, 0x0D, 0x59, 0x00, 0x01, 0x01, 0x01, 0x06, 0x02, 0x01, 0x0B, 0x4E, 0x00, 0x01, 0x03, 0x00, 0x05, 0x00, 0x00, 0xFF, 0x00, 0x00, 0x01, 0x03, 0x01, 0x05, 0x00, 0x00, 0xFF, 0x00, 0x00, 0x00]opcode_key = { 0: 'nop', 1: 'mov reg data', 2: 'push data', 3: 'push_reg', 4: 'pop_reg', 5: 'printf', 6: 'add_reg_reg1', 7: 'sub_reg_reg1', 8: 'mul', 9: 'div', 10: 'xor', 11: 'jmp', 12: 'cmp', 13: 'je', 14: 'jne', 15: 'jg', 16: 'jl', 17: 'scanf_strlen', 18: 'mem_init', 19: 'stack_to_reg', 20: 'load_input', 0xff: 'exit'}count = 0code_index = 1for x in opcode_team: # 取每个opcode if count % 3 == 0: # 每3个opcode是一条指令,每个指令的第一个是操作码 print(str(code_index)+':', end='') print(opcode_key[x], end=' ') code_index += 1 elif count % 3 == 1: print(str(x)+',', end=' ') else: print(str(x)) count += 1 |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 | //打印出来的结果如下1:mov reg data 3, 32:printf 0, 03:scanf_strlen 0, 04:mov reg data 1, 175:cmp 0, 16:je 10, 07:mov reg data 3, 18:printf 0, 09:exit 0, 010:mov reg data 2, 011:mov reg data 0, 1712:cmp 0, 213:je 43, 014:load_input 0, 215:mov reg data 1, 9716:cmp 0, 117:jl 26, 018:mov reg data 1, 12219:cmp 0, 120:jg 26, 021:mov reg data 1, 7122:xor 0, 123:mov reg data 1, 124:add_reg_reg1 0, 125:jmp 36, 026:mov reg data 1, 6527:cmp 0, 128:jl 36, 029:mov reg data 1, 9030:cmp 0, 131:jg 36, 032:mov reg data 1, 7533:xor 0, 134:mov reg data 1, 135:sub_reg_reg1 0, 136:mov reg data 1, 1637:div 0, 138:push_reg 1, 039:push_reg 0, 040:mov reg data 1, 141:add_reg_reg1 2, 142:jmp 11, 043:push data 7, 044:push data 13, 045:push data 0, 046:push data 5, 047:push data 1, 048:push data 12, 049:push data 1, 050:push data 0, 051:push data 0, 052:push data 13, 053:push data 5, 054:push data 15, 055:push data 0, 056:push data 9, 057:push data 5, 058:push data 15, 059:push data 3, 060:push data 0, 061:push data 2, 062:push data 5, 063:push data 3, 064:push data 3, 065:push data 1, 066:push data 7, 067:push data 7, 068:push data 11, 069:push data 2, 070:push data 1, 071:push data 2, 072:push data 7, 073:push data 2, 074:push data 12, 075:push data 2, 076:push data 2, 077:mov reg data 2, 178:stack_to_reg 1, 279:pop_reg 0, 080:cmp 0, 181:jne 91, 082:mov reg data 1, 3483:cmp 2, 184:je 89, 085:mov reg data 1, 186:add_reg_reg1 2, 187:jmp 78, 088:mov reg data 3, 089:printf 0, 090:exit 0, 091:mov reg data 3, 192:printf 0, 093:exit 0, 094:nop |
分析和注释:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 | mov edx, 3printf(...)scanf(our_input)mov eax, strlen(our_input)mov ebx, 17cmp eax, ebxje (10) //相等才跳转到position0mov edx, 1printf(...)exit(0) //不相等就退出了(10)mov ecx, 0mov eax, 17cmp eax, ecxje (43) //直至计数器等于17eax = load_input[ecx] //循环读取我们的inputmov ebx, 'a'cmp eax, ebxjl (26) //该字符小于'a'则跳转到26mov ebx, 'z'cmp eax, ebxjg (26) //该字符大于'z'则跳转到26mov ebx, 71xor eax, ebx mov ebx, 1add eax, ebx //否则将该字符(char^71+1)jmp (36)(26)mov ebx, 'A'cmp eax, ebxjl (36) //该字符比'A'小则跳转到36mov ebx, 'Z'cmp eax, ebxjg (36) //该字符比'Z'大则跳转到36mov ebx, 75 xor eax, ebxmov ebx, 1sub eax, ebx //否则将该字符(char^75-1)(36)mov ebx, 16div eax, ebx //将该字符%16push ebx push eax //先压入整除的数字,再压入余数mov ebx, 1mov ecx, 1jmp(11)(43)push //压入一连串的数据,......(76)push 2(77)mov ecx, 1(78)stack_to_reg 1, 2pop eaxcmp eax, ebxjne (91)mov ebx, 34 //17拆成34个(整数和余数)cmp ecx, ebxje (89)mov ebx, 1mov ecx, 1jmp(78)mov edx, 0 //设置返回值为0(89)printf(..) //打印失败字符串exit(..) //退出程序(91)mov edx, 1 //设置返回值为1printf(..) //打印成功字符串# exit(..) //退出程序nop |
最后理解程序的逻辑之后写出解题脚本:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | data = [0x7,0xd,0x0,0x5,0x1,0xc,0x1,0x0,0x0,0xd,0x5,0xf,0x0,0x9,0x5,0xf,0x3,0x0,0x2,0x5,0x3,0x3,0x1,0x7,0x7,0xb,0x2,0x1,0x2,0x7,0x2,0xc,0x2,0x2,]data = data[::-1]flag = ''for i in range(0, 34, 2): temp = data[i] + data[i+1]*16 x = ((temp+1) ^ 75) y = ((temp-1) ^ 71) if x>=65 and x<=90: # 'A'-'Z' flag += chr(x) elif y>=97 and y<=122: # 'a' - 'z' flag += chr(y) else: flag += chr(temp) # 没有处于'a'-'z'或'A'-'Z'之间print(flag) |
得到flag值为:
flag{Such_A_EZVM}
总结
再遇见vm-re的题目,先查找到opcode(伪机器码),然后找到dispatcher(就是模拟CPU读取指令的分发器),然后边分析那些伪汇编函数(就是模仿汇编指令的函数)边查找模拟的CPU的栈,寄存器,全局变量(多是字符串)等
参考资料:
https://www.bilibili.com/video/BV1Nv411k7HJ
https://blog.csdn.net/weixin_43876357/article/details/108488762
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
最后于 2021-7-29 11:52
被SYJ-Re编辑
,原因:
|
|
|---|---|
|
|
为何将0xB8换成0x90? |
|
|
简单patch,这样就可以改变从你光标开始的字节,你还可以下载插件keypatch,放到plugins目录即可
最后于 2021-7-29 11:56
被SYJ-Re编辑
,原因:
|
|
|
呦西get到了vm_nop
|
|
|
|
