錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù),錦州廣廈維修電腦,公司IT外包服務(wù)
topFlag1 設(shè)為首頁
topFlag3 收藏本站
 
maojin003 首 頁 公司介紹 服務(wù)項(xiàng)目 服務(wù)報(bào)價(jià) 維修流程 IT外包服務(wù) 服務(wù)器維護(hù) 技術(shù)文章 常見故障
錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù)技術(shù)文章
VMProtect 3.09 虛擬機(jī)架構(gòu)淺析
作者: 不詳  日期:2017-03-15 18:32:47   來源: 轉(zhuǎn)載



0x00 寫在前面
最近兩周一直在研究VMProtect相關(guān)的東西,發(fā)現(xiàn)VMProtect 2.x 被研究的比較充分,F(xiàn)KVMP、Zeus、VMP分析插件1.4等神器也出來了很久。但VMProtect 3 沒有在論壇內(nèi)找到相關(guān)的資料,這里寫一點(diǎn)簡單分析作為拋磚引玉之用。新人第一貼,求論壇的大大們多多鼓勵(lì)。

根據(jù)官方公告,VMProtect 3使用了新的虛擬機(jī)架構(gòu),本文通過分析自己加虛擬化的簡單程序,介紹一下VMProtect 3虛擬機(jī)的基本架構(gòu),并與VMProtect 2.x進(jìn)行簡單對(duì)比。
這里強(qiáng)調(diào)一下,本貼只介紹虛擬機(jī)架構(gòu)方面的內(nèi)容,關(guān)于脫殼、IAT恢復(fù)、過anti等等請(qǐng)參考其他大佬的文章。

0x01 初步分析
分析的樣本是用MASM32編寫的小程序,源代碼如下:
使用VMProtect 1.81 demo版本對(duì)main函數(shù)(地址0x40100C)加虛擬化,最快速度,關(guān)掉一切其他保護(hù)。
這里之所以使用 1.81 demo這么低的版本,主要原因是該版本VMP中的虛擬機(jī)代碼沒有混淆,生成的bytecode也比較規(guī)則,沒有2.x版本的冗余分支,同時(shí)又能被VMP分析插件1.4完美支持,因此非常適合拿來學(xué)習(xí)VMP虛擬機(jī)結(jié)構(gòu)。
加密后文件大小5.00 KB (5,120 字節(jié))

再使用VMProtect 2.12.3版本加虛擬化,選項(xiàng)相同 ,關(guān)掉所有保護(hù)。
加密后文件大小15.0 KB (15,360 字節(jié))

再使用論壇的VMProtect 3.09版本加虛擬化,選項(xiàng)相同,關(guān)掉所有保護(hù)。
加密后文件大小516 KB (528,896 字節(jié))

可見VMProtect 3.x版本加密后的代碼量有非常大的變化,注意這里關(guān)掉了所有保護(hù)選項(xiàng)的情況,因此這些多出來的代碼不是殼代碼,也不是調(diào)試器檢測的代碼,就是實(shí)實(shí)在在虛擬化后的指令。
這么為什么會(huì)多出這么多,這里簡單分析一下。

需要用到OD的追蹤功能(很好用的功能,但大家經(jīng)常忽略掉他)
OD分別打開兩個(gè)文件,Ctrl+F11 跟蹤步入,64位電腦先將ntdll.dll和kernel32.dll標(biāo)記為系統(tǒng)DLL,避免記錄到trace中。
跟蹤完成后分析兩個(gè)程序產(chǎn)生trace的區(qū)別。

console.vmp_1.81_demo.exe  生成527條trace
用OD統(tǒng)計(jì)下指令數(shù)(注意在選項(xiàng)中關(guān)掉統(tǒng)計(jì)時(shí)將相鄰指令合并的選項(xiàng)),前幾條是這樣
0x04 寫在最后
從今年2月分開始的連續(xù)幾個(gè)月時(shí)間可能都要研究虛擬機(jī)保護(hù)相關(guān)的內(nèi)容,因此也會(huì)陸續(xù)發(fā)些心得筆記上來。
這里希望論壇大大們可以給些指點(diǎn),好少走點(diǎn)彎路。
也希望其他壇友們能多多回帖討論。


熱門文章
  • 機(jī)械革命S1 PRO-02 開機(jī)不顯示 黑...
  • 聯(lián)想ThinkPad NM-C641上電掉電點(diǎn)不...
  • 三星一體激光打印機(jī)SCX-4521F維修...
  • 通過串口命令查看EMMC擦寫次數(shù)和判...
  • IIS 8 開啟 GZIP壓縮來減少網(wǎng)絡(luò)請(qǐng)求...
  • 索尼kd-49x7500e背光一半暗且閃爍 ...
  • 樓宇對(duì)講門禁讀卡異常維修,讀卡芯...
  • 新款海信電視機(jī)始終停留在開機(jī)界面...
  • 常見打印機(jī)清零步驟
  • 安裝驅(qū)動(dòng)時(shí)提示不包含數(shù)字簽名的解...
  • 共享打印機(jī)需要密碼的解決方法
  • 圖解Windows 7系統(tǒng)快速共享打印機(jī)的...
    • 錦州廣廈電腦上門維修

    報(bào)修電話:13840665804  QQ:174984393 (聯(lián)系人:毛先生)   
    E-Mail:174984393@qq.com
    維修中心地址:錦州廣廈電腦城
    ICP備案/許可證號(hào):遼ICP備2023002984號(hào)-1
    上門服務(wù)區(qū)域: 遼寧錦州市區(qū)
    主要業(yè)務(wù): 修電腦,電腦修理,電腦維護(hù),上門維修電腦,黑屏藍(lán)屏死機(jī)故障排除,無線上網(wǎng)設(shè)置,IT服務(wù)外包,局域網(wǎng)組建,ADSL共享上網(wǎng),路由器設(shè)置,數(shù)據(jù)恢復(fù),密碼破解,光盤刻錄制作等服務(wù)

    技術(shù)支持:微軟等

    感谢您访问我们的网站,您可能还对以下资源感兴趣:

    91欧美日韩
    主站蜘蛛池模板: 日韩精品久久无码中文字幕 | 色偷偷一区二区无码视频| 无码一区18禁3D| 中文字幕人妻无码系列第三区| 水蜜桃av无码一区二区| 久久久久久亚洲精品无码| 亚洲AV无码久久寂寞少妇| 亚洲综合无码无在线观看| 日韩精品无码一区二区视频| 无码囯产精品一区二区免费 | 一本大道无码日韩精品影视_| 亚洲AV永久无码精品成人| 亚洲精品无码久久久久AV麻豆| 亚洲av永久无码嘿嘿嘿| 亚洲中文字幕无码久久综合网| 国产精品无码无卡在线观看久| 日韩精品无码中文字幕一区二区 | 久久午夜夜伦鲁鲁片免费无码| 精品人妻无码一区二区三区蜜桃一 | 亚洲AV无码片一区二区三区| 亚洲AV中文无码乱人伦下载| julia无码人妻中文字幕在线| 亚无码乱人伦一区二区| 久久久久亚洲AV无码专区体验| 寂寞少妇做spa按摩无码| 国产麻豆天美果冻无码视频| 精品久久久久久无码人妻中文字幕 | 亚洲国产av高清无码| 国产a级理论片无码老男人| 亚洲人成无码www久久久| 免费A级毛片无码A| 无码精品A∨在线观看无广告| 亚洲AV无码一区二区三区牲色| 久久av无码专区亚洲av桃花岛| 亚洲AV中文无码乱人伦下载| 国产午夜无码精品免费看动漫| 内射人妻少妇无码一本一道| 中文字幕乱偷无码AV先锋| 中文国产成人精品久久亚洲精品AⅤ无码精品 | 青青草无码免费一二三区| 无码AV岛国片在线播放|