VMProtect2.04加壳程序从入门到精通VMP外壳函数获取

类型：加壳脱壳大小：13.5M语言：中文评分：4.2
标签：

立即下载

第 6 页 VMP外壳函数获取

3.2.VMP外壳函数获取
00437817 . 68 B59DF9FC PUSH FCF99DB5
在00437817把程序拦截下来后，和TLS相似，VMP开始初始化VM等等操作，这里不再复述。VM运行后还是先进行0000与[00427D51]中的0000进行比较+跳转。接下来把VM堆栈重新分配和TLS里的相似：
0013FF8C 0013FF98
0013FF90 0013FF98
VM_NANDdw
0013FF90 FFEC0067 g.
0013FF94 00000800 ...
VM_ADDdw_EBPSTACK
0013FF94 FFEC0867 g
VM_PUSHdw_EBP
0013FF90 0013FF94 .
0013FF94 FFEC0867 g
VM_COPYdw_EBPSTACK
0013FF90 FFEC0867 g
0013FF94 FFEC0867 g
VM_NANDdw
0013FF94 0013F798 . ; UNICODE "er"
VM_MOVdw_EBPreg_EBPSTACK
伪指令进行了一次减法操作0013FF98-800=0013F798，最终把0013F798赋值给EBPSTACK，在这条指令里进行的边界检查中，将触发这个VM堆栈的重新分配（详情请查阅1.2.VM堆栈）
来到新的VM堆栈0013F798中，EF标志位也将再次的置1，一切都和TLS里相同。
3.2.1.动态链接库
接下来就要进入大规模的anti检测了，在进入之前还有一个准备工作，在接下来的使用中，需要使用到一个buffer（缓冲区）用于存储API函数的返回值，动态链接库名字等等内容，VM采用的方式是0013FF98-10=0013FF88，这样就在0013FF88----0013FF98之间分配好了buffer，4个dword：
0013FF88 00000212 ..
0013FF8C 00000282 ..
0013FF90 00000202 ..
0013FF94 0013F798 . ; UNICODE "er"
0013FF98
在后面的anti检测中，很多都会使用到这个buffer空间。接下来就开始往buffer内写入常量数据：
0013F790 0013FF88 .
0013F794 6E72656B kern
VM_MOVdw_MEMORYdw_EBPSTACKdw ；写入kern
VM_PUSHdw_IMMEDIATEdw
0013F78C 0013FF88 .
0013F790 00000004 ...
0013F794 32336C65 el32
VM_ADDdw_EBPSTACK ；buffer存储地址+4
0013F790 0013FF8C .
0013F794 32336C65 el32
VM_MOVdw_MEMORYdw_EBPSTACKdw ；写入el32
VM_PUSHdw_IMMEDIATEdw
0013F78C 00000008 ...
0013F790 0013FF88 .
0013F794 6C6C642E .dll
VM_ADDdw_EBPSTACK ；buffer存储地址+8
0013F790 0013FF90 .
0013F794 6C6C642E .dll
VM_MOVdw_MEMORYdw_EBPSTACKdw ；写入.dll
VM_PUSHdw_IMMEDIATEdw
0013F78C 0000000C ....
0013F790 0013FF88 .
0013F794 00000000 ....
VM_ADDdw_EBPSTACK ；buffer存储地址+C
0013F790 0013FF94 .
0013F794 00000000 ....
VM_MOVdw_MEMORYdw_EBPSTACKdw ；写入00000000
现在我们来看看buffer中整体写入的数据：
0013FF88 6E72656B kern
0013FF8C 32336C65 el32
0013FF90 6C6C642E .dll
0013FF94 00000000 ....
kernel32.dll链接库，多么熟悉的字眼呀，VM写入这个数据后，会开始进行一次VM_JMP的相关操作，准备跳转到新的地方继续，下面是VM_JMP伪指令的数据：
0013F75C 0042816C lB.
0013F760 00000000 ....
0013F764 7FF224A8 $
0013F768 7C92E514 | ; ntdll.KiFastSystemCallRet
0013F76C 7FFD8000 .
0013F770 00000202 ..
0013F774 00000000 ....
0013F778 0013FFB0 .
0013F77C 00000202 ..
0013F780 0013FF98 .
0013F784 0013FF88 . ; ASCII "kernel32.dll"
0013F788 7FF224A8 $
0013F78C 0013FF88 . ; ASCII "kernel32.dll"
0013F790 00000282 ..
0013F794 004389FB C. ; Entry point of procedure
VM_JMP
最终VM终于来到ANTI检测和VM后期将要不断调用的伪指令VM_EBPSTACK_CALL，用于API函数和程序自身过程调用，两者的操作都是离开虚拟机环境的。API函数调用将进入系统空间，必然需要离开虚拟机环境，而这里的过程调用也是离开虚拟机环境的。离开虚拟机环境其实很简单，只需要堆栈上变换一下，本来都是在VM堆栈的数据参数需要移动到ESP指针的堆栈空间内，正常的程序执行它是使用ESP指针的，不懂得到VM堆栈内取数据。
0013F78C 00428275 uB. ; RETURN from NOTEPAD.00436E08 to NOTEPAD.00428275
0013F790 0013FF88 . ; ASCII "kernel32.dll"
0013F794 004389FB C. ; Entry point of procedure
VM_EBPSTACK_CALL
关于这条伪指令，我再来详细解说一下，首先它通过VM的ESI数据获得这次函数调用的参数个数。这次它的参数是1个，然后把1给ECX，下面是这条伪指令内部获取参数的指令：
0043E0C6 87448D 00 XCHG DWORD PTR SS:[ECX*4+EBP],EAX ; *
0043E0CD 894424 24 MOV DWORD PTR SS:[ESP+24],EAX ; *
EBP=0013F78C，在循环里面通过[ECX*4+EBP]的方式，ECX的值就决定了要取出多少个参数，取出的参数压入ESP指向的堆栈，在这里显示的是[ESP+24]，24的偏移是因为有花指令，不用考虑。一切准备好后，就跳转到00428275。最后的跳转指令数据截取：
$ ==> 00428275 uB. ; RETURN from NOTEPAD.00436E08 to NOTEPAD.00428275
$+4 9AF17581 u
$+8 14415549 IUA
$+C 0013F6D8 .
$+10 00428137 7B.
$+14 0013F78C .
$+18 0013F6C0 .
$+1C 80A6D7DB 爪
$+20 0043EF77 wC.
$+24 00000000 ....
$+28 00428275 uB. ; RETURN from NOTEPAD.00436E08 to NOTEPAD.00428275
$+2C 0043EED7 C.
$+30 00000246 F..
$+34 0043EED7 C.
$+38 00428275 uB. ; RETURN from NOTEPAD.00436E08 to NOTEPAD.00428275
$+3C 0043EEB7 C. ; RETURN from NOTEPAD.0043D111 to NOTEPAD.0043EEB7 ；执行这条指令，去除38垃圾数据后跳转数据
$+40 0013FF88 . ; ASCII "kernel32.dll"
0043DE10 C2 3800 RETN 38 ; Call Enter
既然是跳转到00428275，我们来看看00428275处是什么样的代码，那里只有一条跳转指令：
00428275 -/FF25 E47D4300 JMP DWORD PTR DS:[<&KERNEL32.LoadLibrary
现在就很清晰了，这次call是使用LoadLibrary函数来获取Kernel32.dll链接库句柄。我们在call return address处0043EEB7处下断，然后就可以F9运行，直接拦截下系统调用结束后返回的结果EAX=7C800000。现在又要回到虚拟机中了，反过来就需要把数据放回到VM堆栈中，按照VM运行方式让它在VM堆栈中操作。
在返回VM的过程中，首先是把原来EBPSTACK中的参数占据的位置释放：
0043ED41 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] ; *这里是保存的本次call的参数个数
0043ED46 8D6C8D 00 LEA EBP,[ECX*4+EBP] ; *释放掉对应的空间
把EAX中的结果保存到EBPSTACK
EAX=7C800000
0043ED50 8945 00 MOV DWORD PTR SS:[EBP],EAX ; *
0013F790 7C800000 ..|
返回VM后，进行一次VM_JMP调用

3.2.2.循环
分配新的buffer空间，0013FF88-10=0013FF78再分配4个dword的空间出来，使用上面的方式往新的buffer空间写入数据。4个dword写入完成后buffer空间的数据如下：
0013FF78 8D7E029C ~
0013FF7C 8F81160C .
0013FF80 048DFF7E ~
0013FF84 00C78D05 .
0013FF88 6E72656B kern
0013FF8C 32336C65 el32
0013FF90 6C6C642E .dll
0013FF94 00000000 ....
调用VM_JMP跳转到新的地方，接下来毫无疑问的是继续进行call调用
0013F788 00421C48 HB. ; Entry point of procedure
0013F78C 7C800000 ..|
0013F790 0013FF78 x.
0013F794 00427C45 E|B.
VM_EBPSTACK_CALL
这次是带着kernel32.dll的句柄7C800000和0013FF78两个参数调用00421C48，这次是一个过程调用，我们下面来看00421C48的代码：
00421C4E 55 PUSH EBP ; *
00421C58 8D6C24 04 LEA EBP,[ESP+4] ; *下面要使用EBP来读取参数，先保存后定位
00421C76 56 PUSH ESI ; *
00421C80 893C24 MOV DWORD PTR SS:[ESP],EDI ; *
00421C85 53 PUSH EBX ; *
00421C8C 52 PUSH EDX ; *
该保存的保存起来
00421C92 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] ; *读取第一个参数kernel32.dll句柄7C800000
接下来的部分和TLS中的PE文件头定位相似，不过TLS是使用伪指令实现的，这里用常规指令实现。
00436B42 8B70 3C MOV ESI,DWORD PTR DS:[EAX+3C] ; *
00436B4E 01C6 ADD ESI,EAX ; *
00436B5C 8B56 78 MOV EDX,DWORD PTR DS:[ESI+78] ; * 78偏移是导出表结构位置，kernel32.dll的导出表RVA
0043A773 01C2 ADD EDX,EAX ; * 获得导出表开始位置7C80262C
0043A77D 8B4E 7C MOV ECX,DWORD PTR DS:[ESI+7C] ; * 78偏移是导出表结构位置，kernel32.dll的导出表大小
00435CB9 01D1 ADD ECX,EDX ; * 获得导出表结束位置7C809345
00435CBE 894D F0 MOV DWORD PTR SS:[EBP-10],ECX ; * 保存起来
00435CCB 8B4D 0C MOV ECX,DWORD PTR SS:[EBP+0C] ; * 这里获取的是第二个参数0013FF78
0041EE80 8B7A 24 MOV EDI,DWORD PTR DS:[EDX+24] ; * 导出表24偏移的是AddressOfNamesOrdinals 指向输入序列号数组
0041EE8B 01C7 ADD EDI,EAX ; * 输入序列号数组地址7C804424
0041EE8F 8B5A 20 MOV EBX,DWORD PTR DS:[EDX+20] ; * 导出表20偏移的是AddressOfNames 函数名字的指针的地址
0041EE9B 01C3 ADD EBX,EAX ; * 函数名字的指针地址7C80353C
0041EEB1 8B4A 18 MOV ECX,DWORD PTR DS:[EDX+18] ; * 导出表18偏移的是NumberOfNames AddressOfNames数组的项数
一切准备就绪开始读取导出表函数比较
0041EED5 83E9 01 SUB ECX,1 ; * 计数器第1个word减去
0041EEDF 894D FC MOV DWORD PTR SS:[EBP-4],ECX ; *
0041EEF0 8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8] ; * 整个程序的载入偏移量
00428D66 034D FC ADD ECX,DWORD PTR SS:[EBP-4] ; *
00428D6B D1E9 SHR ECX,1 ; * 计数器除以2，按照word方式
00428D72 8B3C8B MOV EDI,DWORD PTR DS:[ECX*4+EBX] ; *
00428514 /01C7 ADD EDI,EAX ; *
EDI 7C806FB2 ASCII "GetVDMCurrentDirectories"，到这里就得到API函数名了
0042851E 8B75 0C MOV ESI,DWORD PTR SS:[EBP+0C] ; * 0013FF78
0043A156 AC LODS BYTE PTR DS:[ESI] ; *
0043A159 F6D0 NOT AL ; *
0043A165 F6D8 NEG AL ; *
00435255 /FEC0 INC AL ; *
0043525C 34 37 XOR AL,37 ; *
0043552A FEC0 INC AL ; *
00435530 D0C0 ROL AL,1 ; *
0041E634 FEC0 INC AL ; *
接下来就是比较
004388E1 3A07 CMP AL,BYTE PTR DS:[EDI] ; *
004388E7 ^\0F8C 35EAFFFF JL 00437322 ; *
004388ED 8D7F 01 LEA EDI,[EDI+1] ; *
004219F2 /0F87 9A6B0100 JA 00438592 ; *
00425FB3 3B4D FC CMP ECX,DWORD PTR SS:[EBP-4] ; *
00425FC4 83C1 01 ADD ECX,1 ; *
00425FCD 894D F8 MOV DWORD PTR SS:[EBP-8],ECX ; *
注意好它的跳转方式是通过JL和JA方式一起实现，上面的是比较失败后的循环。如果相同的话，JL和JA这里都不能跳转，我们去JA的下一条指令拦截比较相同的情况：
004219F2 /0F87 9A6B0100 JA 00438592 ; *
004219F8 |E8 2B480000 CALL 00426228 ；F4这里
现在我们就找到第一个字母比较相同的函数是VirtualAlloc
0042968E 807F FF 00 CMP BYTE PTR DS:[EDI-1],0 ; *
0043712D ^\0F85 F213FFFF JNE 00428525 ; *
出来到外循环看是不是已经比较到尾部，还没有就回去比较第2个字节，我们直接跳出循环看结果
0043712D ^\0F85 F213FFFF JNE 00428525 ; *
00437133 0FBAEF 16 BTS EDI,16 ；F4这里，所有字节都相同的函数是VirtualProtect
到这里比较完毕，要找的函数是VirtualProtect
0043C9C1 8B7A 24 MOV EDI,DWORD PTR DS:[EDX+24] ; * AddressOfNamesOrdinals
0043C9C7 01C7 ADD EDI,EAX ; *
0043C9CC 0FB70C4F MOVZX ECX,WORD PTR DS:[ECX*2+EDI] ; *
0043C9D6 29CF SUB EDI,ECX ; *
0043C9DB 8B7A 1C MOV EDI,DWORD PTR DS:[EDX+1C] ; * AddressOfFunctions
0043C9E3 01C7 ADD EDI,EAX ; *
0042862B /8B3C8F MOV EDI,DWORD PTR DS:[ECX*4+EDI] ; *
00438A9F \01F8 ADD EAX,EDI ; *
解说不过来了，大家不明白的去复习PE文件格式的导出表部分吧，上面的指令结束后，得到了VirtualProtect的系统地址7C801AD4
0043EEB7 89D1 MOV ECX,EDX ; call return address
回到call返回地址，数据压入EBPSTACK这里等于0013F790
0013F790 7C801AD4 | ; kernel32.VirtualProtect
0013F794 00427C45 E|B.
我们在平时的代码中也经常可以看到，call调用完毕后检测一下是不是0，VMP也是一样的，只是用伪指令来实现
0013F78C 7C801AD4 | ; kernel32.VirtualProtect
0013F790 7C801AD4 | ; kernel32.VirtualProtect
0013F794 00427C45 E|B.
VM_NANDdw
0013F790 837FE52B +
0013F794 00427C45 E|B.
VM_PUSHdw_EBP
VM_COPYdw_EBPSTACK
0013F78C 837FE52B +
0013F790 837FE52B +
0013F794 00427C45 E|B.
VM_NANDdw
0013F790 7C801AD4 | ; kernel32.VirtualProtect
0013F794 00427C45 E|B.
两个NOT指令为的就是要它的标志位来进行ZF位检测+跳转VM_JMP指令
接下来VM将会进行一次CC码检测，看看VirtualProtect函数开始地址有没有下断点，此部分不再复述，记录关键数据：
0013F78C 1AD4
0013F790 00CC7C80 |.
0013F794 00427C45 E|B.
读取出7C801AD4函数的首字节，与CC码进行一次减法操作，获取其中的标志位，进行ZF位检测+跳转
在前面的EBPSTACK中一直附带着00427C45这个数据而没有动静，现在在确定一切安全没有问题，VM再次调用VM_JMP控制VM跳转到00427C45位置，下面我们就来看看00427C45是干什么操作的
0013F790 C9058E9B
0013F794 7C801AD4 | ; kernel32.VirtualProtect
VM_ADDdw_EBPSTACK
0013F794 4585A96F oE

0013F78C 0013F798
0013F790 00000020
0013F794 4585A96F oE
VM_ADDdw_EBPSTACK
0013F790 0013F7B8 .
0013F794 4585A96F oE
VM_MOVb_MEMORYb_EBPSTACKb
现在我们看清楚，00427C45这个VM子程序过程是把得到的系统地址加密起来存放，不让它按照明码的方式存储。到这里完成了一个系统函数获取到存储的全过程，接下来程序回到 3.2.2.循环的开头，开始新的函数获取，从往0013FF78压入4个dword开始，接着就退出00427C45这个VM子程序过程。当kernel32.dll结束后又进入下一个DLL文件，程序回到 3.2.1.动态链接库这一部分不再复述，接下来直接粘贴获取的函数汇总
kernel32.dll：
0013F780 7C801AD4 | ; kernel32.VirtualProtect ；加密后0013F7B8 4585A96F oE
0013F790 7C809AF1 | ; kernel32.VirtualAlloc ；加密后0013F7C0 7ED1C93F ?~
0013F790 7C801A28 (| ; kernel32.CreateFileA ；加密后0013F7DC 45E78F5A ZE
0013F778 7C809BE7 鐩€| ; kernel32.CloseHandle ；加密后0013F7D8 877DBA31 1}
0013F790 7C810B17 | ; kernel32.GetFileSize ；加密后0013F7E4 05F84F8C O
0013F790 7C80950A .| ; kernel32.CreateFileMappingA ；加密后0013F7F4 8B5A496C lIZ
0013F790 7C80B9A5 | ; kernel32.MapViewOfFile ；加密后0013F7C4 C2DC4B94 K
0013F790 7C80BA14 | ; kernel32.UnmapViewOfFile ；加密后0013F798 230A53C4 S.#
0013F790 7C80B741 A| ; kernel32.GetModuleHandleA ；加密后0013F7CC 058C4D40 @M
0013F794 7C813133 31| ; kernel32.IsDebuggerPresent ；加密后0013F7EC 9C056A3F ?j
0013F794 7C85AAF2 | ; kernel32.CheckRemoteDebuggerPresent ；加密后0013F7F8 77ED7C33 3|w
0013F790 7C863FCA ?| ; kernel32.UnhandledExceptionFilter ；加密后0013F7D0 35B5E8D3 5
ntdll.dll：
0013F794 7C92D7FE 讙| ; ntdll.ZwQueryInformationProcess ；加密后0013F7B0 D324C5FE $
0013F794 7C92DCAE 軖| ; ntdll.NtSetInformationThread ；加密后0013F7A8 E42D06B3 -
0013F794 7C92D92E .賿| ; ntdll.NtQuerySystemInformation ；明码存储00425E60 7C92D92E到这里所有的外壳函数获取结束，VM执行VM_JMP跳转走，由于最后的1条系统函数地址是存储在内存中，00425E60进行加法操作，不让他以明码出现，同时VM作为堆栈虚拟机，还是喜欢堆栈的存储方式，所以再找一个堆栈空间0013F7E8，把暗码地址放进去：
0013F790 03DDEA1E
0013F794 00425E64 d^B.
VM_ADDdw_EBPSTACK
0013F794 04204882 H