关于unicorn去搞VMP的iat那点事

2021-12-27 11:00 25542

关于unicorn去搞VMP的iat那点事

L0x1c

2021-12-27 11:00

25542

关于unicorn去搞VMP的那点事

首先感谢！浩哥！龟哥！二木哥！小路哥哥！黎叔！存哥！曾哥！荣神！醒哥！砍老板！震哥！2st师傅！枪手师傅！hook师傅！VF师傅！彭指导！等等大师傅们的教导！！！！

其实看了很多帖子，关于unicorn去搞vmp的事情，最开始来源于大表哥的github项目 unicorn_pe，于是自己也研究了一下unicorn和capstone的东西感觉很好用！于是乎准备写一下，一起来学！呜呜呜，本人技术比较垃圾，写的可能大师傅们几乎都会，所以不喜勿喷，留情！

VMP寻找OEP

其实关于vmp去找OEP的这一步我觉得是很关键的，因为在最开始加完vmp后，可以发现对应的text段，data段都是空的

可以看到是没有数据的，vmp在运行后，会动态的解密，这样text段就会有数据了

一般我们写代码都会用到像编译器这种东西，用什么vs呀，易语言呀，vc++ 6.0呀等等等的，他们这些东西编译出来的都会有一点框架，所以我们一般对相应的遇见的第一个api下段就可以找到入口点，一般的api也就是GetVersion，GetSystemTimeAsFileTime，如果下段后的栈回溯在text段内，那么我们继续回溯即可

可以看到相应的可以对上了，我们直接溯到call jmp的位置进行dump即可

VMP寻找iat

我们先分析没有加壳的代码

可以发现call 为 FF 15 call (当然还有 FF 25) (mov reg,iat call reg / jmp reg)

这里以 FF 15 call 为例子，这里面都变成了 E8 call，因为要保持原来的6个字节的问题所以一般都是 push reg call xxxx / call xxxx ret

以第一个 push eax call sub_4FBE6B 为例子

.vmp00:004FBE6B 90                                      nop                     ; No Operation
.vmp00:004FBE6C 9F                                      lahf                    ; Load Flags into AH Register
.vmp00:004FBE6D 98                                      cwde                    ; AX -> EAX (with sign)
.vmp00:004FBE6E 58                                      pop     eax
.vmp00:004FBE6F E9 62 5A EC FF                          jmp     loc_3C18D6
.vmp00:003C18D6 87 04 24                                xchg    eax, [esp-4+arg_0] ; Exchange Register/Memory with Register
.vmp00:003C18D9 E9 F5 D8 F2 FF                          jmp     loc_2EF1D3      ; Jump
.vmp00:002EF1D3 50                                      push    eax
.vmp00:002EF1D4 B8 3F 15 28 00                          mov     eax, 28153Fh
.vmp00:002EF1D9 E9 2F 45 16 00                          jmp     loc_45370D      ; Jump
.vmp00:0045370D 8B 80 51 E1 00 00                       mov     eax, [eax+0E151h]
.vmp00:00453713 8D 80 CD 4A 08 4C                       lea     eax, [eax+4C084ACDh] ; Load Effective Address
.vmp00:00453719 87 04 24                                xchg    eax, [esp+0]    ; Exchange Register/Memory with Register
.vmp00:0045371C E9 8C 35 E4 FF                          jmp     nullsub_32      ; Jump
.vmp00:00296CAD C3                                      retn                    ; Return Near from Procedure

可以看到上面的流程最后一个retn 又因为xchg交换了 eax和esp的内存，所以可以判定出 iat的地址有关系的几句汇编是

mov     eax, 28153Fh
mov     eax, [eax+0E151h]
lea     eax, [eax+4C084ACDh]
xchg    eax, [esp+0]

iat = [28153F+0E151]+4C084ACD

可以看到表示的没有问题

iat脚本

这里我使用的是unicorn来获取到对应的api，因为在恶意样本的操作的时候，一定会用到api做一些恶意的功能，也会对分析来说多了一点帮助

使用方法：

用x64dbg转到对应的段的内存布局进行文件dump

讲文件放在项目的目录下，以及将当前环境的reg的值填入（这里我延用了周壑老师的代码，进行了修改）

因为周壑老师说的是抛异常的形式，那么我就按照异常的形式来捕获iat，因为对于api的这些内存的位置，我是没有map到内存中的，所以遇到iat就会出现异常

因为我看了很多地方都是E8 call，而且在text段中 call的位置为vmp段，所以直接暴搜E8 call即可，把这些位置记录下来然后遍历即可，根据ldr以及pe的解析就可以搞出来iat啦！

效果：

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#VM保护

收藏・30

点赞・12

打赏

最新回复 (20)
如斯咩咩咩雪币： 4709 活跃值： (1524) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 165 粉丝 7 关注私信	如斯咩咩咩 2021-12-27 11:09 2 楼 0 源神！
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-12-27 11:38 3 楼 0 vmp是如何计算出将要执行的下一条指令的它是从哪知道的这些基础门槛我都分析过但关于vmp是如何计算出下一条该要执行的指令我没分析过
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-12-27 11:55 4 楼 0 003310D4 c0c4 52 rol ah,0x52 003310D7 D2C8 ror al,cl 003310D9 c0dc 57 rcr ah,0x57 003310DC 8D92 81D982CC lea edx,dword ptr ds:[edx-0x337D267F] 003310E2 c1e0 26 shl eax,0x26 003310E5 66:0FBDC7 bsr ax,di 003310E9 3BEA cmp ebp,edx 003310EB F7D2 not edx 003310ED 8D92 FB71961D lea edx,dword ptr ds:[edx+0x1D9671FB] 003310F3 33DA xor ebx,edx 003310F5 81EE 04000000 sub esi,0x4 003310FB 0facc0 c5 shrd eax,eax,0xc5 003310FF F8 clc 00331100 8916 mov dword ptr ds:[esi],edx 00331102 66:c1e8 c2 shr ax,0xc2 00331106 0FBAF0 C0 btr eax,0xC0 0033110A 8B07 mov eax,dword ptr ds:[edi] 0033110C 66:81FC 4444 cmp sp,0x4444 像这样lea edx,dword ptr ds:[edx-0x337D267F]的它是怎么知道要去这个偏移的地址处取数据的
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-12-27 11:56 5 楼 0 edx-0x337D267F 这些偏移每次重新运行程序貌似还都会变化
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 293 粉丝 5 关注私信	kakasasa 2021-12-27 12:53 6 楼 0 mark一下
v0id_ 雪币： 8270 活跃值： (4786) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 245 粉丝 32 关注私信	v0id_ 2021-12-27 15:53 7 楼 0 源神！
Jev0n 雪币： 2055 活跃值： (3836) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 55 粉丝 30 关注私信	Jev0n 2021-12-27 15:54 8 楼 0 源神！
舒默哦雪币： 2956 活跃值： (4826) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 150 粉丝 59 关注私信	舒默哦 1 2021-12-27 16:50 9 楼 0 源神！
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2021-12-27 16:56 10 楼 0 木志本柯 vmp是如何计算出将要执行的下一条指令的它是从哪知道的这些基础门槛我都分析过但关于vmp是如何计算出下一条该要执行的指令我没分析过看看这个是不是：https://blog.csdn.net/pureman_mega/article/details/121750280
tutuj 雪币： 1928 活跃值： (5843) 能力值： ( LV7，RANK：118 ) 在线值：发帖 17 回帖 49 粉丝 61 关注私信	tutuj 2021-12-27 17:28 11 楼 0 源神牛逼
tutuj 雪币： 1928 活跃值： (5843) 能力值： ( LV7，RANK：118 ) 在线值：发帖 17 回帖 49 粉丝 61 关注私信	tutuj 2021-12-27 17:30 12 楼 0 快进到源vmp unpacker
零加一雪币： 2033 活跃值： (4865) 能力值： ( LV13，RANK：278 ) 在线值：发帖 6 回帖 29 粉丝 137 关注私信	零加一 3 2021-12-27 17:33 13 楼 0 源神牛逼!!!!!!
wuxiwudi 雪币： 920 活跃值： (1520) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 2021-12-27 17:53 14 楼 0 源神源神
蜜蜂啊雪币： 4091 活跃值： (1954) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 2021-12-27 20:51 15 楼 0 源神！
mudebug 雪币： 7968 活跃值： (5170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 300 粉丝 31 关注私信	mudebug 2021-12-28 03:37 16 楼 0 牛逼
ookkaa 雪币： 39 活跃值： (4152) 能力值： ( LV3，RANK：35 ) 在线值：发帖 18 回帖 200 粉丝 34 关注私信	ookkaa 2021-12-28 11:47 17 楼 0 IAT没用，不管是内核还是应用层，都是采用动态获取函数地址调用的，IAT中能看到的都是让你看到的
hackbs 雪币： 294 活跃值： (987) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 225 粉丝 0 关注私信	hackbs 2022-1-14 20:13 18 楼 0 源神果然秀
China龍星雪币： 132 活跃值： (543) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	China龍星 2022-2-6 11:29 19 楼 0 这是vmp几啊
小希希雪币： 1475 活跃值： (3210) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 318 粉丝 17 关注私信	小希希 2022-11-20 19:24 20 楼 0 mark 好
笑熬浆糊雪币： 523 活跃值： (827) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 223 粉丝 4 关注私信	笑熬浆糊 2 2023-8-16 12:04 21 楼 0 很好，这个有启发性
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

L0x1c

发帖

回帖

287

RANK

关注

私信

他的文章

[原创]南极动物厂游戏安全2024初赛 PC

关于unicorn去搞VMP的iat那点事

vmp 相关的问题

[原创]进程和线程

[原创]南极动物厂游戏高校竞赛初赛

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
如斯咩咩咩雪币： 4709 活跃值： (1524) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 165 粉丝 7 关注私信	如斯咩咩咩 2021-12-27 11:09 2 楼 0 源神！
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-12-27 11:38 3 楼 0 vmp是如何计算出将要执行的下一条指令的它是从哪知道的这些基础门槛我都分析过但关于vmp是如何计算出下一条该要执行的指令我没分析过
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-12-27 11:55 4 楼 0 003310D4 c0c4 52 rol ah,0x52 003310D7 D2C8 ror al,cl 003310D9 c0dc 57 rcr ah,0x57 003310DC 8D92 81D982CC lea edx,dword ptr ds:[edx-0x337D267F] 003310E2 c1e0 26 shl eax,0x26 003310E5 66:0FBDC7 bsr ax,di 003310E9 3BEA cmp ebp,edx 003310EB F7D2 not edx 003310ED 8D92 FB71961D lea edx,dword ptr ds:[edx+0x1D9671FB] 003310F3 33DA xor ebx,edx 003310F5 81EE 04000000 sub esi,0x4 003310FB 0facc0 c5 shrd eax,eax,0xc5 003310FF F8 clc 00331100 8916 mov dword ptr ds:[esi],edx 00331102 66:c1e8 c2 shr ax,0xc2 00331106 0FBAF0 C0 btr eax,0xC0 0033110A 8B07 mov eax,dword ptr ds:[edi] 0033110C 66:81FC 4444 cmp sp,0x4444 像这样lea edx,dword ptr ds:[edx-0x337D267F]的它是怎么知道要去这个偏移的地址处取数据的
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-12-27 11:56 5 楼 0 edx-0x337D267F 这些偏移每次重新运行程序貌似还都会变化
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 293 粉丝 5 关注私信	kakasasa 2021-12-27 12:53 6 楼 0 mark一下
v0id_ 雪币： 8270 活跃值： (4786) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 245 粉丝 32 关注私信	v0id_ 2021-12-27 15:53 7 楼 0 源神！
Jev0n 雪币： 2055 活跃值： (3836) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 55 粉丝 30 关注私信	Jev0n 2021-12-27 15:54 8 楼 0 源神！
舒默哦雪币： 2956 活跃值： (4826) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 150 粉丝 59 关注私信	舒默哦 1 2021-12-27 16:50 9 楼 0 源神！
fatcateatrat 雪币： 333 活跃值： (970) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 111 粉丝 4 关注私信	fatcateatrat 2021-12-27 16:56 10 楼 0 木志本柯 vmp是如何计算出将要执行的下一条指令的它是从哪知道的这些基础门槛我都分析过但关于vmp是如何计算出下一条该要执行的指令我没分析过看看这个是不是：https://blog.csdn.net/pureman_mega/article/details/121750280
tutuj 雪币： 1928 活跃值： (5843) 能力值： ( LV7，RANK：118 ) 在线值：发帖 17 回帖 49 粉丝 61 关注私信	tutuj 2021-12-27 17:28 11 楼 0 源神牛逼
tutuj 雪币： 1928 活跃值： (5843) 能力值： ( LV7，RANK：118 ) 在线值：发帖 17 回帖 49 粉丝 61 关注私信	tutuj 2021-12-27 17:30 12 楼 0 快进到源vmp unpacker
零加一雪币： 2033 活跃值： (4865) 能力值： ( LV13，RANK：278 ) 在线值：发帖 6 回帖 29 粉丝 137 关注私信	零加一 3 2021-12-27 17:33 13 楼 0 源神牛逼!!!!!!
wuxiwudi 雪币： 920 活跃值： (1520) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 2021-12-27 17:53 14 楼 0 源神源神
蜜蜂啊雪币： 4091 活跃值： (1954) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 2021-12-27 20:51 15 楼 0 源神！
mudebug 雪币： 7968 活跃值： (5170) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 300 粉丝 31 关注私信	mudebug 2021-12-28 03:37 16 楼 0 牛逼
ookkaa 雪币： 39 活跃值： (4152) 能力值： ( LV3，RANK：35 ) 在线值：发帖 18 回帖 200 粉丝 34 关注私信	ookkaa 2021-12-28 11:47 17 楼 0 IAT没用，不管是内核还是应用层，都是采用动态获取函数地址调用的，IAT中能看到的都是让你看到的
hackbs 雪币： 294 活跃值： (987) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 225 粉丝 0 关注私信	hackbs 2022-1-14 20:13 18 楼 0 源神果然秀
China龍星雪币： 132 活跃值： (543) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	China龍星 2022-2-6 11:29 19 楼 0 这是vmp几啊
小希希雪币： 1475 活跃值： (3210) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 318 粉丝 17 关注私信	小希希 2022-11-20 19:24 20 楼 0 mark 好
笑熬浆糊雪币： 523 活跃值： (827) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 223 粉丝 4 关注私信	笑熬浆糊 2 2023-8-16 12:04 21 楼 0 很好，这个有启发性
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复