深入剖析VMProtect加密的x64驱动导入表

转帖|使用教程|编辑:陈津勇|2019-11-14 11:54:26.550|阅读 118 次

概述:VMProtect是一款虚拟机保护软件,是目前最为流行的保护壳之一。本文手动分析了VMProtect加密的x64驱动导入表,欢迎阅读。

# 您正在找协同办公软件吗?点击这里站长给您推荐 #

VMProtect是由俄罗斯人PolyTech开发的,是一个利用伪指令虚拟机的保护软件,也是当前最强大的虚拟机保护软件之一,它适用于Windows平台本地编译的目标程序,支持EXE、DLL、SYS。

免费下载VMProtect  优惠购买VMProtect

经过VMProtect处理的软件,分析难度将大大增加。越来越多的软件优先考虑使用VMProtect来保护自己的产品。

640.webp.jpg

VMP保护的导入表会把FF 25 offset (call qword ptr[rip+offset])修改为E8 call。

2.webp.jpg3.webp.jpg

跟进去可以看到先保存了rdi,后面rdi会用于堆栈平衡以及修正返回地址。

4.webp.jpg

然后返回地址也就是+BE081  int  3那一行的地址被保存到rdi。

11.webp.jpg

22.webp.jpg

11111.webp.jpg

rdi被加一之后又填充回返回地址,也就是让返回地址跳过int 3指向正确的BE082 test eax,  eax那一行。

111.webp.jpg

111111.webp.jpg

333.webp.jpg

这几步相当于解密导入函数地址,从[imagebase+37DF6+14B606] + 3DDC1A68处取出函数地址放入[rsp]中。

我们用模拟器验证一下。

[imagebase+37DF6+14B606] + 3DDC1A68 确实= fffff800007165c8=RtlGetVersion
uint64_t RtlGetVersion_import = 0;
 uc_mem_read(ctx.m_uc, ctx.m_ImageBase + 0x37DF6 + 0x14B606, &RtlGetVersion_import, 8);
 RtlGetVersion_import += 0x3DDC1A68;
 std::wstring RtlGetVersion_importfrom;
 FakeAPI_t *RtlGetVersion_importapi = NULL;
 if (ctx.FindAPIByAddress(RtlGetVersion_import, RtlGetVersion_importfrom, &RtlGetVersion_importapi))
   *outs << "[ ctx.m_ImageBase + 0x37DF6 + 0x14B606]+0x3DDC1A68 = " << std::hex << RtlGetVersion_import << "name: " << RtlGetVersion_importapi->ProcedureName << "\n";

640.webp (1).jpg

1111.webp.jpg

最后一步retn直接飞向[rsp]也就是刚才计算出的API地址并让最开始push rdi 减少的rsp恢复。

按照这个思路稍加修改甚至可以实现一键脱vmp壳,只要用脚本定位所有api call的地址,修复导入表。



慧都16周年·技术服务月,软件商城优惠券不限量免费领取,购VMProtect享折上折>>>

扫描关注“慧聚IT”微信公众号,及时获取最新动态及最新资讯



标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动成果

文章转载自:看雪学院 https://mp.weixin.qq.com/s?src=11×tamp=1573701373&ver=1973&signature=QCqLr*CBeCNGApVL9OXNH*FyA1kzzoB6H9p9Xe-cpnAu2FHINNWdiw91jN7w7D-xiCocIU-6qm7Q5SkAGOJA4Y-2LRMv6WPIWVlpuus7MvWH*Xakk3Uc0bJdiG6m0-cy&new=1

登录 慧都网发表评论


暂无评论...

为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
相关厂商
相关产品
VMProtect

新一代软件保护系统,将保护后的代码放到虚拟机中运行,代码反编译软件反破解。

在线
客服
在线
QQ
咨询
电话
173-8239-2642
购物车 反馈 返回
顶部
在线客服系统
live chat