[原创]Vmprotect3.5.1 壹之型 — 暗月·宵之宫-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Vmprotect3.5.1 壹之型 — 暗月·宵之宫

发表于: 2022-2-19 00:52 36105

[原创]Vmprotect3.5.1 壹之型 — 暗月·宵之宫

冰鸡

2022-2-19 00:52

36105

在很久很久以前，，神奇的nooby有了个天才的想法，通过修改themida的引擎，使其强制输出了没有混淆和加密的程序，很轻松的就分析完了外壳逻辑和vm的逻辑，盖亚。
图片描述
通过nooby的想法，我们也将vmp3.5.1的引擎进行了修改，使其强行输出了没有混淆和vm后的代码，便于我们分析外壳和handler的逻辑,今天先来看看vmp的反调试原理，先将vmp配置成如下，避免其他功能的干扰。

保护后得到了非常干净的程序。
图片描述

图片描述
如图，这时的入口不再是骇人的 push 0xXXXXXX / call xxxxxx
而是

sub_4F4664()是一个非常大的函数，vmp整个外壳的逻辑所在，内存保护，导入表保护，资源保护，压缩等等就是在这个函数中处理的。
第一步，先获取ntdll的版本信息
图片描述
根据ntdll的版本初始化一些HardCode，后面会用到

接着我们直奔诸葛亮三轮车,vmp自己封装了一个从模块的导出表直接得到地址的函数，这种方式在shellcode中比较常见。

比较完善，还还考虑了转发的情况

接着通过GetExportAddress和上面通过ntdll定位的syscall序号进行反调试检测。
图片描述
vmp分别通过了
IsDebuggerPresent,CheckRemoteDebuggerPresent, NtQueryInformationProcess,以及ZwSetInformationThread进行用户态反调试，vmp在调用函数之前，会检测头部是不是0xCC,然后直接报错。
还有就是直接syscall直接调用比较有效。

图片描述
那么，剩下的贰之型·珠华弄月再说..

int start()
{

  if ( (unsigned int)sub_4F4664() == 1 )

    return mainCRTStartup();

  sub_4F44EC();

  return 0xDEADC0DE;
}

int start()

{

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2022-2-19 02:50 被冰鸡编辑，原因：

#调试逆向 #VM保护

收藏・80

免费・11

支持

打赏 + 50.00雪花

Editor

打赏次数 1

雪花 + 50.00

Editor

+50.00

2022/03/14

恭喜您获得“雪花”奖励，安全圈有你而精彩！

最新回复 (40) 1 2 ▶
xiaomajia 雪币： 29 活跃值： (1599) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 35 关注私信	xiaomajia 2 楼冰鸡师傅真厉害，一般引擎是不加密的，直接分析console就能翻到 2022-2-19 01:24 0
稳拿第一雪币： 1860 活跃值： (3141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	稳拿第一 3 楼大佬厉害！请教下大佬如何修改vmp的引擎！ 2022-2-19 09:13 0
lookzo 雪币： 6 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 4 楼 good idea看vmp分析从来没有这么清楚过, 哈哈 2022-2-19 09:16 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 5 楼思路很好，是不是可以举一反三去弄其他壳了，怎么改引擎有没有人抛砖呢 2022-2-19 12:04 1
咖啡_741298 雪币： 6 活跃值： (3290) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 1 关注私信	咖啡_741298 6 楼 6b 2022-2-19 12:18 0
sunsjw 雪币： 8739 活跃值： (5205) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 7 楼值得我辈学习。希望能多分享这样有营养的文章。 2022-2-19 13:23 0
xiwushgya 雪币： 2903 活跃值： (2828) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 94 粉丝 1 关注私信	xiwushgya 8 楼太厉害了，都是大神级人物 2022-2-19 14:49 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼 bin呢？放个bin出来不是更好？ 2022-2-19 15:47 1
fjqisba 雪币： 2253 活跃值： (6603) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 259 粉丝 58 关注私信	fjqisba 10 楼 66666666 2022-2-19 16:28 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 11 楼赞一个！ 2022-2-19 17:09 0
拍拖雪币： 1790 活跃值： (3781) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 12 楼赞一个！期待后续文件及BIN文件。 2022-2-19 21:00 0
xingbing 雪币： 175 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 13 楼期待放出VMP3.51版本。 2022-2-21 12:31 0
tank小王子雪币： 12329 活跃值： (9371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 14 楼无bin无真相[手动狗头] 2022-2-21 13:53 0
黑洛雪币： 6124 活跃值： (4641) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 71 关注私信	黑洛 1 15 楼放个bin！(伸手 2022-2-26 18:09 0
雪中带风雪币： 180 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	雪中带风 16 楼 return 0xDEADC0DE 中 0xDEADC0DE 是什么东西 2022-2-27 10:23 0
万剑归宗雪币： 914 活跃值： (2443) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 17 楼顾名思义，Dead Code 2022-3-1 09:39 0
小夜的夜雪币： 199 活跃值： (816) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 19 粉丝 7 关注私信	小夜的夜 18 楼能放个bin就更好了 2022-3-1 11:28 0
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 19 楼为该程序的早期版本制作一个通用补丁。 2022-3-3 19:10 0
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 67 粉丝 4 关注私信	紫梦寒 20 楼是不是可以举一反三去弄其他壳 2022-3-4 07:01 0
飘零丶雪币： 3876 活跃值： (163265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 4 关注私信	飘零丶 21 楼楼主思路不错，学习了，顺便问一下，nooby的帖还能看到么，搜了下，没找到。研究了下，发现确实可以实现。期待楼主下一篇新作，无意班门弄斧，仅仅是感兴趣学习下而已。回复很多人想要个bin，我发个初期研究成果吧，user-debug模式、VMP3.3、只去了VM没处理代码混淆的bin。链接：https://pan.baidu.com/s/1T6pO311X5SrJ4Q2sXJSn8Q 提取码：tsb9 30天有效期，过期不补！have fun ~ 2022-3-4 14:32 1
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 22 楼飘零丶楼主思路不错，学习了，顺便问一下，nooby的帖还能看到么，搜了下，没找到。研究了下，发现确实可以实现。期待楼主下一篇新作，无意班门弄斧，仅仅是感兴趣学习下而已。回复很多人想要个bin，我发个初期研究 ... 我们谈论的是保护器本身的原始补丁文件。我们可以自己组装任何项目。这对于生成虚拟指令的统计信息非常有用。 2022-3-4 18:28 0
飘零丶雪币： 3876 活跃值： (163265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 4 关注私信	飘零丶 23 楼 Alfik 我们谈论的是保护器本身的原始补丁文件。我们可以自己组装任何项目。这对于生成虚拟指令的统计信息非常有用。哦那我理解有误抱歉。 2022-3-4 20:53 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 24 楼思路真不错, 最后一张图片真恶心 2022-3-4 21:16 0
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 25 楼飘零丶哦那我理解有误抱歉。您的示例也非常好，但并未涵盖所有处理器指令。谢谢你的例子！ 2022-3-4 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冰鸡

发帖

回帖

RANK

关注

私信

他的文章

[原创]Vmprotect3.5.1 壹之型 — 暗月·宵之宫 36106

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
xiaomajia 雪币： 29 活跃值： (1599) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 35 关注私信	xiaomajia 2 楼冰鸡师傅真厉害，一般引擎是不加密的，直接分析console就能翻到 2022-2-19 01:24 0
稳拿第一雪币： 1860 活跃值： (3141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 1 关注私信	稳拿第一 3 楼大佬厉害！请教下大佬如何修改vmp的引擎！ 2022-2-19 09:13 0
lookzo 雪币： 6 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 4 楼 good idea看vmp分析从来没有这么清楚过, 哈哈 2022-2-19 09:16 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 5 楼思路很好，是不是可以举一反三去弄其他壳了，怎么改引擎有没有人抛砖呢 2022-2-19 12:04 1
咖啡_741298 雪币： 6 活跃值： (3290) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 1 关注私信	咖啡_741298 6 楼 6b 2022-2-19 12:18 0
sunsjw 雪币： 8739 活跃值： (5205) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 7 楼值得我辈学习。希望能多分享这样有营养的文章。 2022-2-19 13:23 0
xiwushgya 雪币： 2903 活跃值： (2828) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 94 粉丝 1 关注私信	xiwushgya 8 楼太厉害了，都是大神级人物 2022-2-19 14:49 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼 bin呢？放个bin出来不是更好？ 2022-2-19 15:47 1
fjqisba 雪币： 2253 活跃值： (6603) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 259 粉丝 58 关注私信	fjqisba 10 楼 66666666 2022-2-19 16:28 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 11 楼赞一个！ 2022-2-19 17:09 0
拍拖雪币： 1790 活跃值： (3781) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 12 楼赞一个！期待后续文件及BIN文件。 2022-2-19 21:00 0
xingbing 雪币： 175 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 13 楼期待放出VMP3.51版本。 2022-2-21 12:31 0
tank小王子雪币： 12329 活跃值： (9371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 14 楼无bin无真相[手动狗头] 2022-2-21 13:53 0
黑洛雪币： 6124 活跃值： (4641) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 71 关注私信	黑洛 1 15 楼放个bin！(伸手 2022-2-26 18:09 0
雪中带风雪币： 180 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	雪中带风 16 楼 return 0xDEADC0DE 中 0xDEADC0DE 是什么东西 2022-2-27 10:23 0
万剑归宗雪币： 914 活跃值： (2443) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 17 楼顾名思义，Dead Code 2022-3-1 09:39 0
小夜的夜雪币： 199 活跃值： (816) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 19 粉丝 7 关注私信	小夜的夜 18 楼能放个bin就更好了 2022-3-1 11:28 0
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 19 楼为该程序的早期版本制作一个通用补丁。 2022-3-3 19:10 0
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 67 粉丝 4 关注私信	紫梦寒 20 楼是不是可以举一反三去弄其他壳 2022-3-4 07:01 0
飘零丶雪币： 3876 活跃值： (163265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 4 关注私信	飘零丶 21 楼楼主思路不错，学习了，顺便问一下，nooby的帖还能看到么，搜了下，没找到。研究了下，发现确实可以实现。期待楼主下一篇新作，无意班门弄斧，仅仅是感兴趣学习下而已。回复很多人想要个bin，我发个初期研究成果吧，user-debug模式、VMP3.3、只去了VM没处理代码混淆的bin。链接：https://pan.baidu.com/s/1T6pO311X5SrJ4Q2sXJSn8Q 提取码：tsb9 30天有效期，过期不补！have fun ~ 2022-3-4 14:32 1
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 22 楼飘零丶楼主思路不错，学习了，顺便问一下，nooby的帖还能看到么，搜了下，没找到。研究了下，发现确实可以实现。期待楼主下一篇新作，无意班门弄斧，仅仅是感兴趣学习下而已。回复很多人想要个bin，我发个初期研究 ... 我们谈论的是保护器本身的原始补丁文件。我们可以自己组装任何项目。这对于生成虚拟指令的统计信息非常有用。 2022-3-4 18:28 0
飘零丶雪币： 3876 活跃值： (163265) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 4 关注私信	飘零丶 23 楼 Alfik 我们谈论的是保护器本身的原始补丁文件。我们可以自己组装任何项目。这对于生成虚拟指令的统计信息非常有用。哦那我理解有误抱歉。 2022-3-4 20:53 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 24 楼思路真不错, 最后一张图片真恶心 2022-3-4 21:16 0
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 25 楼飘零丶哦那我理解有误抱歉。您的示例也非常好，但并未涵盖所有处理器指令。谢谢你的例子！ 2022-3-4 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复