VMP分析之VMP1.09虚拟化架构分析(二)
生活随笔
收集整理的這篇文章主要介紹了
VMP分析之VMP1.09虚拟化架构分析(二)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
文章目錄
- 示例代碼
- VM完整流程分析
- VM解碼循環
- 保存寄存器環境
- 壓入EBP和偏移
- 執行函數
- 恢復寄存器環境
- 總結
示例代碼
示例代碼如下:
#include "stdafx.h" #include <Windows.h>int Calc(int a,int b) {return a + b;}int main(int argc, char* argv[]) {Calc(2,3);getchar();return 0; }同樣用VMP1.09對程序進行加殼,只對兩句代碼進行VM處理。
這次的目的是為了分析虛擬機,選擇最小保護。
VM完整流程分析
來到Calc函數當前堆棧值為+0的位置的返回地址,+4和+8的位置是Calc函數的參數
VM解碼循環
接著VM開始部分的代碼和之前分析過的一樣,取指令流然后跳轉到handler。
區別于VM最大保護的版本,最小保護的VM代碼少了解密指令流的部分,解密Key中保存的就是真實的VM指令流。
保存寄存器環境
首先handler執行代碼保存當前的寄存器環境,保存的寄存器環境和保存后的VM_Context如下:
當前堆棧 $ ==> > 00000000--->第二個密鑰 $+4 > 0019FED0--->EDI $+8 > 00401520--->ESI $+C > 0019FED0--->EBP $+10 > 0019FE7C--->ESP $+14 > 00309000--->EBX $+18 > 021E0FC0--->EDX $+1C > 00000000--->ECX $+20 > CCCCCCCC--->EAX $+24 > 00000206--->EFlags VM_Context $ ==> >CCCCCCCC--->EAX $+4 >00000206--->EFlags $+8 >0019FED0--->EDI $+C >00000000--->第二個密鑰 $+10 >00000000--->ECX $+14 >02210FC0--->EDX $+18 >000B8FA5---> $+1C >F609851D---> $+20 >E654F2EE---> $+24 >0019FED0--->EBP $+28 >003CA000--->EBX $+2C >00401520--->ESI壓入EBP和偏移
VM代碼保存完了寄存器之后,就要開始執行程序原本的功能了
執行完三個handler之后,VM壓入了三個值,分別是
$ ==> > 00000008 $+4 > 0019FED0 $+8 > 0000000C其中8和C是偏移,而0019FED0是EBP的地址,再來看一下EBP的值
0019FED0 0019FF30 0019FED4 00401126 返回到 VMTest_v.main+26 來自 VMTest_v.0040100A 0019FED8 00000002 0019FEDC 00000003EBP+8和+C的位置正好是被VM函數的兩個參數,VM識圖通過這種方式來取到參數,進行運算
執行函數
接著handler將參數一保存到VM_Context+0x20的位置
接著handler執行函數代碼,將兩個參數相加,結果保存在堆棧中
接著將計算結果保存在VM_Context+0x1C的位置。當前VM寄存器環境如下:
VM_Context $ ==> >CCCCCCCC--->EAX $+4 >00000206--->EFlags $+8 >0019FED0--->EDI $+C >00000000--->第二個密鑰 $+10 >00000000--->ECX $+14 >02210FC0--->EDX $+18 >000B8FA5---> $+1C >F609851D--->計算結果 $+20 >E654F2EE--->參數 $+24 >0019FED0--->EBP $+28 >003CA000--->EBX $+2C >00401520--->ESI恢復寄存器環境
接著將VM_Context中的寄存器恢復到堆棧中,然后再從堆棧將數據恢復到寄存器
函數返回時,功能執行完成。至此,走完了整個VM的虛擬機流程
總結
VM代碼流程總結如下:
總結
以上是生活随笔為你收集整理的VMP分析之VMP1.09虚拟化架构分析(二)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: VMP分析之VM解码循环与基本架构(一)
- 下一篇: VMP分析之VMP2.13插件化分析(四