2. 程式人生 > >VMP1.10最大保護分析

VMP1.10最大保護分析

阿新 發佈:2018-12-11

這次的樣本只是一條mov eax,0x200指令,用vmp1.10開全部保護:

分析如下:

首先來到vm_dipatcher處:

這裡是每次對取opcode會進行解碼,此時的vm_data中不會看到一樣的opcode,就是因為每次會進行解碼,而且在進行handler執行的時候也會對運算元進行解碼,並且更新bl這個金鑰因子。

比如這個vPushReg32這個handler,先用bl進行解碼,然後根據解碼內容再更新下bl這個金鑰因子,這防止了直接提取handler進行靜態分析,當然,也可以提權所有的opcode,以及相應的解碼演算法,進行還原到沒有加密過的opcode表:

其次就是在handler執行的過程中,常量被加密了,執行時候會對這些常量進行很多步的解碼,最後才能還原,以及加入了很多無用的步驟,具體的看分析記錄吧,每次執行完handler記錄一下堆疊的情況:

------------vPushImm32 40C3CDEE ————******————
0019FF38   40C3CDEE

------------vPushImm32 BF3C3412 ————******————
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPushImm32 7607BB5D ————******————
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

/*************************
------------vPushReg32  vecx
0019FF2C   00000000
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPushReg32  vebp
0019FF28   0019FF80
0019FF2C   00000000
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------Nor32
0019FF28   0282****
0019FF2C   FFE6007F
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vShr8
0019FF2C   FFE60200
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPushImm32  B82F6173
0019FF28   B82F6173
0019FF2C   FFE60200
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPopReg32 R7
0019FF2C   FFE60200
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vShr8
0019FF2C   0200****
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPopReg16 R7
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE
*************************/

------------vPushImm32 8A39EAFE ————******————
0019FF2C   8A39EAFE
0019FF30   7607BB5D  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vAdd32               ————******————
0019FF30   0041A65B  
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPushReg32 Image_Base ————******————
0019FF2C   00000000
0019FF30   0041A65B  Max_Prot.0041A65B
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vAdd32                ————******————
0019FF30   0041A65B  Max_Prot.0041A65B
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vGetEsp32             ————******————
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPushImm32  E9780960  ————******————   
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

/********************
------------vPushEsp
0019FF28   0019FF2C
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vGetEsp8
0019FF28   0060****  
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPushEsp
0019FF24   FF2A****
0019FF28   00600019
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vGetEsp16
0019FF28   00600060
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vShl16
0019FF28   00600A13
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------Nor16
0019FF28   F58C****
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPushImm16 00A4
0019FF28   F58C00A4
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vShr8
0019FF28   00000A46
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPopReg16 R7
0019FF28   0000****
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vPopReg16 key
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE
***************************/

------------vPushImm32 3A9DF7C7 ————******————
0019FF28   3A9DF7C7
0019FF2C   E9780960
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vAdd32              ————******————
0019FF2C   24160127
0019FF30   DBE9FED9
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vAdd32              ————******————
0019FF30   00000000
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vAdd32              ————******———— 
0019FF34   BF3C3412
0019FF38   40C3CDEE

------------vAdd32              ————******————
0019FF38   00000200

------------vPopReg32 veax
------------vPopad
------------vPopfd
------------vRet

一條mov eax,0x200指令,除去pushad popfd等儲存暫存器資訊操作之外,被解釋成了30條的handler,其中後面——****——為有效指令,/************ 和**********/之間的都是無效指令,我們可以直接在OD中不讓這些無效handler執行,只執行解密opcde部分,執行後的效果還是一樣。最後常量0x200是通過push的幾次立即數,加上通過一個vmp的handler地址取四位元組進行add操作最後還原到0x200。經過這麼分析之後,對vmp的部分Handler都熟悉了一下,命名等借鑑了下vmp分析外掛。

相關推薦

VMP1.10保護分析

這次的樣本只是一條mov eax,0x200指令,用vmp1.10開全部保護: 分析如下: 首先來到vm_dipatcher處: 這裡是每次對取opcode會進行解碼,此時的vm_data中不會看到一樣的opcode,就是因為每次會進行解碼,而且在進行handler

資料學習(10期望演算法·因子分析模型(下)

作者課堂筆記摘錄,有問題請聯絡 [email protected] 1 因子分析(Factor Analysis) 內容參考 http://blog.csdn.net/stdcoutzyx/article/details/37559995 高斯混合模型,當

DG 性能轉換保護

最大保護1. 主庫增加 4個 Standbylog文件:alter database add standby logfile '/u01/oradata/prod/std_redo01.log' size 50m;2. 備庫關閉MRPrecover managed standby databa

1.10 值減去小值小於或等於num的子陣列數量

【題目】:   給定陣列arr和整數num,共返回有多少個子陣列滿足如下情況:   max(arr[i...j] - min(arr[i...j]) <= num   max(arr[i...j])表示子陣列arr[i...j]中的最大值,min(arr[i...j])表示子陣列arr[i...j

1.10 值減去小值小於或等於num的子數組數量

1.10 如果 表示 max nbsp n) 數組a 復雜 最小值 【題目】:   給定數組arr和整數num,共返回有多少個子數組滿足如下情況:   max(arr[i...j] - min(arr[i...j]) <= num   max(arr[i...j])表

sql server 性能調優之 邏輯內存消耗資源分析1 (自sqlserver服務啟動以後)

編譯 read server 排序 desc 統計 ota 所在 off 原文:sql server 性能調優之 邏輯內存消耗最大資源分析1 (自sqlserver服務啟動以後)一.概述   IO 內存是sql server最重要的資源,數據從磁盤加載到內存,再從內存中緩

sql server 性能調優之 CPU消耗資源分析1 (自sqlserver服務啟動以後)

sta 內存 targe clu exist 缺失 cpu img target 原文:sql server 性能調優之 CPU消耗最大資源分析1 (自sqlserver服務啟動以後)一. 概述   上次在介紹性能調優中講到了I/O的開銷查看及維護,這次介紹CPU的開銷及

sql server 效能調優之 邏輯記憶體消耗資源分析1 (自sqlserver服務啟動以後)

原文: sql server 效能調優之 邏輯記憶體消耗最大資源分析1 (自sqlserver服務啟動以後) 一.概述   IO 記憶體是sql server最重要的資源,資料從磁碟載入到記憶體,再從記憶體中快取,輸出到應用端,在sql server 記憶體初探中有介紹。在明白了sqlserver記憶體原

sql server 效能調優之 CPU消耗資源分析1 (自sqlserver服務啟動以後)

原文: sql server 效能調優之 CPU消耗最大資源分析1 (自sqlserver服務啟動以後) 一. 概述   上次在介紹效能調優中講到了I/O的開銷檢視及維護,這次介紹CPU的開銷及維護, 在調優方面是可以從多個維度去發現問題如I/O,CPU,  記憶體,鎖等,不管從哪個維度去解決,

藍芽5速率分析報告

-------------------------------------------------------------------------------------------------------- 文章版權歸為微信公眾號 無線技術聯盟,轉載請註明出處. 作者:

10.EVE-NG鏡像來啦!打造國內的EVE交流圈

模擬器 gns3 仿真平臺 網絡模擬器 eve-ng 文章列表(關註微信公眾號EmulatedLab,及時獲取文章以及下載鏈接)1、EVE-NG介紹(EVE-NG最好用的模擬器,仿真環境時代來臨!)2、EVE-NG安裝過程介紹3、EVE-NG導入Dynamips和IOL4、EVE-NG導入

中國畬族聚居區立法保護傳承畬族文化xe

a20 足球 更多 ddd dts oos rrh cda osd 但是在的德乙聯賽積分榜前六位的確實是使得霍芬海姆的踢球的霍芬海姆就要開始聯盟杯的肖卿註定了實現的大雖然張文的所以機艙裏比較吵比賽的跑動很是積極也會霍芬海姆將不少帳口號自意大利尤文圖斯奪得歐洲冠軍杯冠軍其他人

GA:利用GA對一元函數進行優化過程,求x∈(0,10)中y的值——Jason niu

title variable ati 過程 優化 mea ... http [] x = 0:0.01:10; y = x + 10*sin(5*x)+7*cos(4*x); figure plot(x, y) xlabel(‘independent variable

DP--HDU 1003求數字串中的連續序列(含有DP過程詳細分析

d+ 最大 高亮 esp 序列 cas 最大連續 hdu 1003 for 題意如標題所示。測試數據規模為100000。 首先從DP的角度考慮 狀態:i(數組下標) 狀態轉移方程: 註:加上“等於零”是為了得到有多解時,的第一個解。(原諒我的字 -_-) 初始邊界狀態極

利用小堆找出10億個數中的10000個數

AS 如果 算法 最小值 分治 但是 空間 找出最大值 根節點 最小堆 最小堆是一種完全二叉樹,特點是根節點比兩個子節點都小(或者根節點比子節點都大) 過程 先找10000個數構建最小堆 依次遍歷10億個數,如果比最小堆的最小值大,則替換這個最小值,並重新構建最小堆 最後

求一個整數數組中和的連續子數組,例如:[1, 2, -4, 4, 10, -3, 4, -5, 1]的連續子數組是[4, 10, -3, 4](需寫明思路,並編程實現)

class col code pan IT [] 例如 exit arr $arr = [ 1 , 2 , -4 , 4 , 10 , -23 , 4 , -5 , 1]; $max_sum = 0; $sum=0; $new = []; $i =

五種智能算法解決割問題分析與比較_愛學術

測試結果 最大 計算 遺傳算法 網絡 -c field author 粒子 【摘要】最大割問題(Max-cut Problem)是一個典型的NP難組合優化問題。文章采用遺傳算法、分布估計算法、Hopfield網絡方法、蟻群算法、粒子群算法等5種算法對最大割問題進行求解,並用

輸入10個整數,將其中小的數與第一個數對換,把的數與最後一個數對換。寫三個函式; ①輸入10個數;②進行處理;③輸出10個數。

import java.util.Scanner; public class Main {     public static void main(String[] args){         Scanner sc = new Scann

尋找TopN——在10億資料中找到1000個的數

目錄 問題描述 如何從10億資料中找到前1000大的數? 解法 針對該問題,給定一個數組data,從中找出前n個最大的數。 解題思路 先維護一個具有n個數的堆,然後調整該堆為小頂堆,即每個父節點都比其子節點小。然後從剩下的陣列中逐一讀取資料,將讀取到的資料跟堆頂比較。如果

演算法分析初步-連續和問題(二)

本節使用剛學到的分治法來解決這個問題。再來回顧一下這個演算法: 分治演算法一般分為如下3個步驟。 劃分問題:把問題的例項劃分成子問題。 遞迴求解:遞迴解決子問題。 合併問題:合併子問題的解得到原問題的解。 在本例中,劃分就是把序列分成元素個數儘量相等的兩半:遞迴求解就是分別求