[原创]VMP 3.8.1 部分handler特征-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

黑蓝

2024-1-21 21:19

5014

vmp exit:

popfd 标志vmp虚拟机结束

vm_start:

pushfd 标志vmp虚拟机开始

push:

mov [vsp±imm32(imm32±imm32)],reg32 新版vmp会把imm32混淆

然后现在vmp不知道为什么，他是push imm32两次，对vsp-8，所以需要监测vsp寄存器的变化来认定push

pop:

mov reg,mem

pop imm32两次，对vsp+8，所以需要监测vsp寄存器的变化来判断pop

(add)sub:

push reg1

push reg2

(sub)not reg1

mov reg,mem

add reg,reg

(sub)not reg

以上是本人花短时间分析的，插件识别Handler也不是什么难事，还有更多Handler后期会开源

分析软件:VMProtect 3.8.1
环境:Windows 7

最后于 2024-1-21 21:47 被黑蓝编辑，原因：

收藏・6

免费・2

支持

最新回复 (2)
mb_ldbucrik 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 184 粉丝 2 关注私信	mb_ldbucrik 2 楼支持一下 2024-1-21 22:38 0
秋狝雪币： 3070 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-1-22 09:48 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

黑蓝

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
mb_ldbucrik 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 184 粉丝 2 关注私信	mb_ldbucrik 2 楼支持一下 2024-1-21 22:38 0
秋狝雪币： 3070 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-1-22 09:48 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复