VMProtect逆向分析VIP专享VIP免费

bbs.pediy.com bbs.unpack.cn 作 者 : aa1ss2 1VMProtect 逆向分析 一VMP 的入口 . 01037355 68 63DFE7AB PUSH ABE7DF63 0103735A E8 B900FDFF CALL NOTEPAD_.01007418 VM 开始，这里是对应源程序的入口，一开始vmp 会压入一个key，这个key 是用来计算函数VM 开始执行的地址.在2.0 版本后,这里做了改变,估计主要是因为Nooby 公开了猜函数的方法。 目前 2.04 的入口如下 00401001 > $-E9 DA5A0000 JMP test2_v m.00406AE0 #入口变成了一条 JMP 指令 00406AE0 > 68 38321EFA PUSH FA1E3238 00406AE5 . FF3424 PUSH DWORD PTR SS:[ESP] 00406AE8 . 60 PUSHAD 00406AE9 . 9C PUSHFD 00406AEA . C74424 28 60A1>MOV DWORD PTR SS:[ESP+28],202A160 #这个才是真正的key bbs.pediy.com bbs.unpack.cn 作 者 : aa1ss2 200406AF2 . 68 45E388B4 PUSH B488E345 00406AF7 . C60424 FD MOV BYTE PTR SS:[ESP],0FD 00406AFB . 881C24 MOV BYTE PTR SS:[ESP],BL 00406AFE . C64424 04 6D MOV BYTE PTR SS:[ESP+4],6D 00406B03 . C74424 28 6661>MOV DWORD PTR SS:[ESP+28],D5D26166 #模拟旧版call 的返回地址,无用 00406B0B . 68 A0913B18 PUSH 183B91A0 00406B10 . FF3424 PUSH DWORD PTR SS:[ESP] 00406B13 . 8D6424 30 LEA ESP,DWORD PTR SS:[ESP+30] 00406B17 .^E9 86DCFFFF JMP test2_v m.004047A2 这里可以看出新版的变化，首先是抹除了68 ?? ?? ?? ?? E8 这样的特征码，其次是不再使用push 来写入key，上面那两个push都是花指令来的，是用来迷惑使用push 定位的。 无论新版还是旧版，那个call 的返回地址都是没有用的，因为 vmp 从来不会返回，因此新版里使用JMP 时，丢失返回地址对 vmp一点影响都没有。 接着虚拟机入口，开始初始化 0103735A Main CALL NOTEPAD_.01007418 ; ESP=0007FF2C 01007418 Main JMP NOTEPAD_.010011DA 010011DA Main PUSHFD ; ESP=0007FF28 010011DB Main PUSHFD ; ESP=0007FF24 010011DC Main MOV DWORD PTR SS:[ESP+4],EBX 010011E0 Main PUSH DWORD PTR SS:[ESP] ; ESP=0007FF20 010011E3 Main MOV DWORD PTR SS:[ESP+4],EBP 010011E7 Main PUSH B553C5B8 ; ESP=0007FF1C 010011EC Main PUSH EDX ; ...