[原创]VMProtect分析（一）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]VMProtect分析（一）

发表于: 2021-7-6 18:50 34070

[原创]VMProtect分析（一）

Anakin Stone 活跃值

2021-7-6 18:50

34070

由于工作需要，经常会接触一些加过壳的软件，VMProtect是其中自己比较'欣赏'的一款加壳软件，曾考虑过做一次庖丁解'V'，无奈工作较忙，一直没有合适的机会（太懒），不过，好在终于说服自己开始了。言归正传，先从运行时开始。

将下述代码编译为控制台X64可执行程序VMP.exe.

使用VMProtect Ultimate v 2.13.5 加壳处理，生成VMP_UserDebugger.exe：

X64DBG启动调试：

先运行跟踪抓一些代码，方便分析：

当执行到如下所示代码处时，所需的寄存器环境已基本初始化完成完成（000-05B为寄存器初始化代码）：

此时，运行环境已基本初始化完成（分析见下文），需特别关注的寄存器如下表所示：

R12

Handler表（未赋值）

R13

Handler基址

RBP

栈顶指针

RSI

字节码缓冲区（偏移）

RDI

伪寄存器组

RBX

解密Seed

PS:

此时，栈中已压入Handler基址数据，此时栈顶指针RBP指向栈底-8位置，而不是栈底。

分析后续代码：

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2021-7-7 09:59 被Anakin Stone编辑，原因：

上传的附件：

VMP_UserDebugger.exe （1.15MB，74次下载）
VMP_UserDebugger.trace64 （43.45kb，44次下载）

收藏・43

免费・9

支持

最新回复 (12)
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 2 楼图片不可见，请编辑一下最后于 2021-7-6 21:24 被xiaohang编辑，原因： 2021-7-6 21:24 0
皮皮虾啊雪币： 507 活跃值： (3867) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 73 粉丝 3 关注私信	皮皮虾啊 3 楼楼主加油，期待后续~ 2021-7-7 08:59 0
Anakin Stone 雪币： 4230 活跃值： (3836) 能力值： ( LV12，RANK：320 ) 在线值：发帖 16 回帖 23 粉丝 69 关注私信	Anakin Stone 2 4 楼 xiaohang 图片不可见，请编辑一下可以了。 2021-7-7 09:19 0
木志本柯雪币： 4741 活跃值： (4291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 5 楼要是能用看雪上的一个ctf加个vm写个分析贴就好了，啊哈哈哈是我贪得无厌了。 2021-7-7 10:16 0
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 6 楼期待你的后继内容 2021-7-9 10:12 0
小阿呆雪币： 3275 活跃值： (1441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 2 关注私信	小阿呆 7 楼学习了，期待后续~~~~~~~~~~~~ 2021-7-10 07:44 0
lookzo 雪币： 6 活跃值： (1146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 8 楼庖丁解牛，期待 2021-7-10 10:37 0
Anakin Stone 雪币： 4230 活跃值： (3836) 能力值： ( LV12，RANK：320 ) 在线值：发帖 16 回帖 23 粉丝 69 关注私信	Anakin Stone 2 9 楼 xiaohang 期待你的后继内容[em_84] 2021-7-12 09:04 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1775 关注私信	Editor 10 楼感谢分享～ 2021-7-12 09:40 0
wx_Y0ng. 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_Y0ng. 11 楼 VMProtect Ultimate v 2.13.5可疑发一下吗 2021-8-10 17:44 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 12 楼感谢分享～ 2021-8-10 19:10 0
秋落雪币： 312 活跃值： (613) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	秋落 13 楼厉害楼主 2021-12-27 16:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Anakin Stone

发帖

回帖

320

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 2 楼图片不可见，请编辑一下最后于 2021-7-6 21:24 被xiaohang编辑，原因： 2021-7-6 21:24 0
皮皮虾啊雪币： 507 活跃值： (3867) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 73 粉丝 3 关注私信	皮皮虾啊 3 楼楼主加油，期待后续~ 2021-7-7 08:59 0
Anakin Stone 雪币： 4230 活跃值： (3836) 能力值： ( LV12，RANK：320 ) 在线值：发帖 16 回帖 23 粉丝 69 关注私信	Anakin Stone 2 4 楼 xiaohang 图片不可见，请编辑一下可以了。 2021-7-7 09:19 0
木志本柯雪币： 4741 活跃值： (4291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 5 楼要是能用看雪上的一个ctf加个vm写个分析贴就好了，啊哈哈哈是我贪得无厌了。 2021-7-7 10:16 0
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 6 楼期待你的后继内容 2021-7-9 10:12 0
小阿呆雪币： 3275 活跃值： (1441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 2 关注私信	小阿呆 7 楼学习了，期待后续~~~~~~~~~~~~ 2021-7-10 07:44 0
lookzo 雪币： 6 活跃值： (1146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 8 楼庖丁解牛，期待 2021-7-10 10:37 0
Anakin Stone 雪币： 4230 活跃值： (3836) 能力值： ( LV12，RANK：320 ) 在线值：发帖 16 回帖 23 粉丝 69 关注私信	Anakin Stone 2 9 楼 xiaohang 期待你的后继内容[em_84] 2021-7-12 09:04 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1775 关注私信	Editor 10 楼感谢分享～ 2021-7-12 09:40 0
wx_Y0ng. 雪币： 209 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	wx_Y0ng. 11 楼 VMProtect Ultimate v 2.13.5可疑发一下吗 2021-8-10 17:44 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 12 楼感谢分享～ 2021-8-10 19:10 0
秋落雪币： 312 活跃值： (613) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	秋落 13 楼厉害楼主 2021-12-27 16:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复