日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當(dāng)前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

VMP分析之VMP1.09虚拟化架构分析(二)

發(fā)布時(shí)間:2025/3/21 编程问答 67 豆豆
生活随笔 收集整理的這篇文章主要介紹了 VMP分析之VMP1.09虚拟化架构分析(二) 小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

文章目錄

    • 示例代碼
    • VM完整流程分析
      • VM解碼循環(huán)
      • 保存寄存器環(huán)境
      • 壓入EBP和偏移
      • 執(zhí)行函數(shù)
      • 恢復(fù)寄存器環(huán)境
    • 總結(jié)

示例代碼

示例代碼如下:

#include "stdafx.h" #include <Windows.h>int Calc(int a,int b) {return a + b;}int main(int argc, char* argv[]) {Calc(2,3);getchar();return 0; }

同樣用VMP1.09對(duì)程序進(jìn)行加殼,只對(duì)兩句代碼進(jìn)行VM處理。

這次的目的是為了分析虛擬機(jī),選擇最小保護(hù)。

VM完整流程分析

來到Calc函數(shù)當(dāng)前堆棧值為+0的位置的返回地址,+4和+8的位置是Calc函數(shù)的參數(shù)

VM解碼循環(huán)

接著VM開始部分的代碼和之前分析過的一樣,取指令流然后跳轉(zhuǎn)到handler。

區(qū)別于VM最大保護(hù)的版本,最小保護(hù)的VM代碼少了解密指令流的部分,解密Key中保存的就是真實(shí)的VM指令流。

保存寄存器環(huán)境

首先handler執(zhí)行代碼保存當(dāng)前的寄存器環(huán)境,保存的寄存器環(huán)境和保存后的VM_Context如下:

當(dāng)前堆棧 $ ==> > 00000000--->第二個(gè)密鑰 $+4 > 0019FED0--->EDI $+8 > 00401520--->ESI $+C > 0019FED0--->EBP $+10 > 0019FE7C--->ESP $+14 > 00309000--->EBX $+18 > 021E0FC0--->EDX $+1C > 00000000--->ECX $+20 > CCCCCCCC--->EAX $+24 > 00000206--->EFlags VM_Context $ ==> >CCCCCCCC--->EAX $+4 >00000206--->EFlags $+8 >0019FED0--->EDI $+C >00000000--->第二個(gè)密鑰 $+10 >00000000--->ECX $+14 >02210FC0--->EDX $+18 >000B8FA5---> $+1C >F609851D---> $+20 >E654F2EE---> $+24 >0019FED0--->EBP $+28 >003CA000--->EBX $+2C >00401520--->ESI

壓入EBP和偏移

VM代碼保存完了寄存器之后,就要開始執(zhí)行程序原本的功能了

執(zhí)行完三個(gè)handler之后,VM壓入了三個(gè)值,分別是

$ ==> > 00000008 $+4 > 0019FED0 $+8 > 0000000C

其中8和C是偏移,而0019FED0是EBP的地址,再來看一下EBP的值

0019FED0 0019FF30 0019FED4 00401126 返回到 VMTest_v.main+26 來自 VMTest_v.0040100A 0019FED8 00000002 0019FEDC 00000003

EBP+8和+C的位置正好是被VM函數(shù)的兩個(gè)參數(shù),VM識(shí)圖通過這種方式來取到參數(shù),進(jìn)行運(yùn)算

執(zhí)行函數(shù)

接著handler將參數(shù)一保存到VM_Context+0x20的位置

接著handler執(zhí)行函數(shù)代碼,將兩個(gè)參數(shù)相加,結(jié)果保存在堆棧中

接著將計(jì)算結(jié)果保存在VM_Context+0x1C的位置。當(dāng)前VM寄存器環(huán)境如下:

VM_Context $ ==> >CCCCCCCC--->EAX $+4 >00000206--->EFlags $+8 >0019FED0--->EDI $+C >00000000--->第二個(gè)密鑰 $+10 >00000000--->ECX $+14 >02210FC0--->EDX $+18 >000B8FA5---> $+1C >F609851D--->計(jì)算結(jié)果 $+20 >E654F2EE--->參數(shù) $+24 >0019FED0--->EBP $+28 >003CA000--->EBX $+2C >00401520--->ESI

恢復(fù)寄存器環(huán)境

接著將VM_Context中的寄存器恢復(fù)到堆棧中,然后再?gòu)亩褩?shù)據(jù)恢復(fù)到寄存器

函數(shù)返回時(shí),功能執(zhí)行完成。至此,走完了整個(gè)VM的虛擬機(jī)流程

總結(jié)

VM代碼流程總結(jié)如下:

  • 保存寄存器環(huán)境到堆棧
  • 將堆棧的寄存器環(huán)境保存到VM_Context
  • 執(zhí)行真正的函數(shù)代碼
  • 恢復(fù)VM_Context到堆棧
  • 恢復(fù)寄存器

    • 總結(jié)

    以上是生活随笔為你收集整理的VMP分析之VMP1.09虚拟化架构分析(二)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò),歡迎將生活随笔推薦給好友。