VMSweeper分析.PDFVIP

作者 : aa1ss2 VMSweeper 分析 一. 基本使用 一. 最近,有一位牛人发布了一个比较有意思的插件,我们一起看一下其中一些好玩的东西。既然有大牛放血，那我就顺便给没有追踪 过 VM 的同学扫扫盲。（本文对应插件更新至VMSweeper1.4 beta 8 ） 由于我并没有源码，很多东西都是靠猜了，如果有什么地方说的不对，请各位多多指教。 这个插件的下载地址是 /showthread.php?t=13084 这个插件有些东西还没有完善, 因此经常会出错,我运行了几个程序,都没有一个能正常运行完的,不过这并不阻碍我们了解程序的 大体思想。在看这篇无聊的文章之前首先你要明白 VMProtect 的基本架构，因为追踪和还原VM 有一部分是和 VM 的架构相关的。 安装后打开一个 VMP 加密的程序，然后点击 VMSweeper 首先要选 Analyze all VM references 接着填写相关的参数,这里的 Code start 和 Code end 指定代码段的起始和结束 VM start 和 VM end 指定 vm 段的起始和结束,还有一个要注意的是要把区段名改为 VM 。 为什么要填这些参数呢，我在《VMProtect 逆向分析》里讲过了，因为入口的指令特征被抹除掉了，目前比较好的识别入口算法 就是查找 Code 段的所有 JMP 指令，然后检查是否 JMP 到 VM 段内，再做一些特征的校验(陷阱校验) 。 还有一个就是判断 VM 内部数据和退出VM 的识别，这些都需要VM 段的界限。 填写好了之后，会列出 VM 的入口 新版的 VMSweeper 已经自动获取段界限，不用手动输入了。 1 作者 : aa1ss2 接着就可以 Decode VM 了，这时看到在VM 的入口下了一个断点，当断点命中的时候按 F1 进行分析。 进行分析后弹出一个框后要求重新打开程序，这里正常的话应该是重启，然后进行 patch 。 二. 初始化状态 二. 重新打开程序，我们来看一下刚刚 VMSweeper 做了些什么。 打开 OD 的目录，你会发现多了一个以程序名称命名的目录，打开它，会看到一些文件。 2 作者 : aa1ss2 这些文件都是干什么的呢，我们一个一个来看。 Regs_xxxxxxx Stack_xxxxxxx 很明显,文件名已经提示是寄存器和堆栈了,那么到底是什么寄存器和堆栈呢,我没有插件的源代码,就只能猜了,如果没有猜错的话 这个应该是保存插件内部虚拟机的状态。 Regs_00405D1E.map: eax: eax (ecx ecx) ecx: (ecx ecx) - 1 edx: edx ebx: 0x00407C27 esp: 0x0012FEE4 ebp: 0x0012FFA4 esi: [0x0012FFA4] + 0x00407C27 edi: 0x0012FEE4 efl: efl 首先看地址 00405D1E 3 作者 : aa1ss2 这里记录的主要有用的是 ESI(VMP 目前版本的EIP) 的初始化值。 这里记录 EAX 和 ECX 不知道是不是作者搞错了其它的 VM ，VMP 在入口 EAX 和 ECX 并没有什么用，这里还有一个比较有 用的是 EBX 的校验算法，不过这里并没有记录。这里应该追踪的是ADD ESI,DWORD PTR SS:[EBP]指令。 接下来看 Stack_00405D1E.map: ……… 0012FF94: empty 0012FF