VMProtect是一款虚拟机保护软件,是目前最为流行的保护壳之一。本文手动分析了VMProtect加密的x64驱动导入表,欢迎阅读。
经过VMProtect处理的软件,分析难度将大大增加。越来越多的软件优先考虑使用VMProtect来保护自己的产品。
VMP保护的导入表会把FF 25 offset (call qword ptr[rip+offset])修改为E8 call。
跟进去可以看到先保存了rdi,后面rdi会用于堆栈平衡以及修正返回地址。
然后返回地址也就是+BE081 int 3那一行的地址被保存到rdi。
rdi被加一之后又填充回返回地址,也就是让返回地址跳过int 3指向正确的BE082 test eax, eax那一行。
这几步相当于解密导入函数地址,从[imagebase+37DF6+14B606] + 3DDC1A68处取出函数地址放入[rsp]中。
我们用模拟器验证一下。
[imagebase+37DF6+14B606] + 3DDC1A68 确实= fffff800007165c8=RtlGetVersionuint64_t RtlGetVersion_import = 0; uc_mem_read(ctx.m_uc, ctx.m_ImageBase + 0x37DF6 + 0x14B606, &RtlGetVersion_import, 8); RtlGetVersion_import += 0x3DDC1A68; std::wstring RtlGetVersion_importfrom; FakeAPI_t *RtlGetVersion_importapi = NULL; if (ctx.FindAPIByAddress(RtlGetVersion_import, RtlGetVersion_importfrom, &RtlGetVersion_importapi)) *outs << "[ ctx.m_ImageBase + 0x37DF6 + 0x14B606]+0x3DDC1A68 = " << std::hex << RtlGetVersion_import << "name: " << RtlGetVersion_importapi->ProcedureName << "n";
最后一步retn直接飞向[rsp]也就是刚才计算出的API地址并让最开始push rdi 减少的rsp恢复。
按照这个思路稍加修改甚至可以实现一键脱vmp壳,只要用脚本定位所有api call的地址,修复导入表。
16周年·技术服务月,软件商城优惠券不限量免费领取,购VMProtect享折上折>>>
扫描关注“慧聚IT”微信公众号,及时获取最新动态及最新资讯
标签:
来源:慧都
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!