[原创]IDA 驱动vmp变异去花指令 IDC脚本-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]IDA 驱动vmp变异去花指令 IDC脚本

发表于: 2022-9-6 07:00 15395

[原创]IDA 驱动vmp变异去花指令 IDC脚本

逍遥m

2022-9-6 07:00

15395

变异1:

变异2:

变异3:

这三种变异都是伪跳转,阻碍IDA静态识别的主要特征模型

**看代码前先给大家讲一下IDC脚本代码中的几个函数
FindBinary 搜索二进制
MinEA 最小地址
MakeCode 转换为代码
PatchByte 字节补丁
Byte 读取字节
Dword 读取整数
AnalyzeArea 分析指定块

去花指令后效果
**

IDC脚本代码

#include <idc.idc>

static memset(x,val,len) 
{

    auto i;

    for(i = 0; i < len; i++)

    {

        PatchByte(x + i,val);

    }
}

//是否为堆栈平衡 0不为堆栈平衡  为堆栈平衡返回代码字节数
static IsStackBalance(x) 
{

    auto bsx;

    bsx = Byte(x);

    if(bsx == 0x48 && Dword(x + 1) == 0x0824648D)//lea rsp,[rsp+8]

    {

        return 5;

    }

    else if(bsx >= 0x58 && bsx <= 0x5F)//pop rax -> rdi

    {

        return 1;

    }

    else if(bsx == 0x41 && Byte(x + 1) >= 0x58 && Byte(x + 1) <= 0x5F)//pop r8 -> r15

    {

        return 2;

    }

    return 0;
}
static IsFalseJump(x)
{

    auto bsx,op,base,len;

    bsx = Byte(x);

    op = Byte(x + 1);

    if((bsx == 0x48 || bsx == 0x49)&& op >= 0xB8 && op <= 0xBF &&

    (

    (Byte(x + 10) >= 0x50 && Byte(x + 10) <= 0x57 && Byte(x + 11) == 0xC3) ||

    (Byte(x + 10) == 0x41 && Byte(x + 11) >= 0x50 && Byte(x + 11) <= 0x57 && Byte(x + 12) == 0xC3)

    )

     )//mov rax -> r15  push rax -> r15  ret

    {
 
        base = Dword(x + 2);

        base = base + (Dword(x + 2 + 4) << 32);

        if(base > x)

        {

            len = base - x ;

            if(len <= (9 + 12))

            {

                return len;

            }

            else

            {

               //Message("find base:%X \n",x);

            }

        }

    }

    return 0;
}
static main() {

    auto x,FBin,ProcRange,StaclBytelen;

    FBin = "E8 04 00 00 00";  //call +4

    for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))

    {

           StaclBytelen = IsStackBalance(x + 9);

           if(StaclBytelen != 0)

           {

                MakeCode(x+9+StaclBytelen);

                memset(x,0x90,9+StaclBytelen);

           }

    }

    FBin = "E9 04 00 00 00";  //jmp +4

    for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))

    {

        MakeCode(x+9);

        memset(x,0x90,9);

    }

    FBin = "C3";  //mov rax -> r15

    for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))

    {

        StaclBytelen = IsFalseJump(x - 11);

        if(StaclBytelen != 0)

        {

            MakeCode(x-11+StaclBytelen);

            memset(x-11,0x90,StaclBytelen);
 
        }

        StaclBytelen = IsFalseJump(x - 12);

        if(StaclBytelen != 0)

        {

            MakeCode(x-12+StaclBytelen);

            memset(x-12,0x90,StaclBytelen);

        }

    }

    AnalyzeArea (MinEA(),MaxEA());
}

#include <idc.idc>

static memset(x,val,len)

{

auto i;

for(i = 0; i < len; i++)

{

PatchByte(x + i,val);

}

//是否为堆栈平衡 0不为堆栈平衡为堆栈平衡返回代码字节数

static IsStackBalance(x)

{

auto bsx;

bsx = Byte(x);

if(bsx == 0x48 && Dword(x + 1) == 0x0824648D)//lea rsp,[rsp+8]

{

return 5;

}

else if(bsx >= 0x58 && bsx <= 0x5F)//pop rax -> rdi

{

return 1;

}

else if(bsx == 0x41 && Byte(x + 1) >= 0x58 && Byte(x + 1) <= 0x5F)//pop r8 -> r15

{

return 2;

}

return 0;

}

static IsFalseJump(x)

{

auto bsx,op,base,len;

bsx = Byte(x);

op = Byte(x + 1);

if((bsx == 0x48 || bsx == 0x49)&& op >= 0xB8 && op <= 0xBF &&

(

(Byte(x + 10) >= 0x50 && Byte(x + 10) <= 0x57 && Byte(x + 11) == 0xC3) ||

(Byte(x + 10) == 0x41 && Byte(x + 11) >= 0x50 && Byte(x + 11) <= 0x57 && Byte(x + 12) == 0xC3)

)

)//mov rax -> r15 push rax -> r15 ret

{

base = Dword(x + 2);

base = base + (Dword(x + 2 + 4) << 32);

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向 #系统底层 #软件保护 #VM保护

收藏・36

免费・7

支持

最新回复 (7)
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2 楼感谢分享 2022-9-6 09:50 0
chengdrgon 雪币： 10023 活跃值： (4416) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 113 粉丝 1 关注私信	chengdrgon 3 楼感谢分享 2022-9-6 10:50 0
trackL 雪币： 676 活跃值： (937) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 12 粉丝 5 关注私信	trackL 4 楼感谢分享 2022-9-6 22:50 0
zylrocket 雪币： 3213 活跃值： (5434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 252 粉丝 13 关注私信	zylrocket 5 楼不错！ 2022-9-19 21:39 0
初学者有毅力雪币： 290 活跃值： (705) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 1 关注私信	初学者有毅力 6 楼说实话吧变异一般都+虚拟的, 这个教程作用不大,,至于我目前没有遇到过单独使用变异的! 2022-9-19 22:07 0
xtor 雪币： 212 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 7 楼好久没学过花指令了，复习一下。 2024-11-5 20:32 0
LOVE.her 雪币： 214 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	LOVE.her 8 楼感谢大佬的分享 2024-11-13 10:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

逍遥m

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2 楼感谢分享 2022-9-6 09:50 0
chengdrgon 雪币： 10023 活跃值： (4416) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 113 粉丝 1 关注私信	chengdrgon 3 楼感谢分享 2022-9-6 10:50 0
trackL 雪币： 676 活跃值： (937) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 12 粉丝 5 关注私信	trackL 4 楼感谢分享 2022-9-6 22:50 0
zylrocket 雪币： 3213 活跃值： (5434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 252 粉丝 13 关注私信	zylrocket 5 楼不错！ 2022-9-19 21:39 0
初学者有毅力雪币： 290 活跃值： (705) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 1 关注私信	初学者有毅力 6 楼说实话吧变异一般都+虚拟的, 这个教程作用不大,,至于我目前没有遇到过单独使用变异的! 2022-9-19 22:07 0
xtor 雪币： 212 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 1 关注私信	xtor 7 楼好久没学过花指令了，复习一下。 2024-11-5 20:32 0
LOVE.her 雪币： 214 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	LOVE.her 8 楼感谢大佬的分享 2024-11-13 10:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]IDA 驱动vmp变异 去花指令 IDC脚本

[原创]IDA 驱动vmp变异去花指令 IDC脚本