逆向虚拟机保护

虚拟机保护类的题目需要找到虚拟机的vm_code(字节码),各个handler,然后进一步分析虚拟机保护代码的流程。

用IDA打开程序,经分析后0x403040全局变量地址处存储的就是所有的字节码,共114个。

所有的字节码:

  0x0A, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00,

  0x10, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x03, 0x00, 0x00, 0x00, 0x05, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00,

  0x20, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x05, 0x00, 0x00, 0x00, 0x03, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x03, 0x00, 0x00, 0x00,

  0x02, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x0B, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,

  0x0C, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x04, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x05, 0x00, 0x00, 0x00,

  0x03, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x03, 0x00, 0x00, 0x00, 0x21, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x0B, 0x00, 0x00, 0x00

  0x08, 0x00, 0x00, 0x00, 0x0B, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00,

  0x09, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x03, 0x00, 0x00, 0x00, 0x20, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00,

  0x51, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x04, 0x00, 0x00, 0x00, 0x24, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x0C, 0x00, 0x00, 0x00,

  0x08, 0x00, 0x00, 0x00, 0x0B, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x05, 0x00, 0x00, 0x00,

  0x02, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x02, 0x00, 0x00, 0x00, 0x25, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00,

  0x36, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x04, 0x00, 0x00, 0x00, 0x41, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00,

  0x20, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x05, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x05, 0x00, 0x00, 0x00,

  0x03, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x02, 0x00, 0x00, 0x00, 0x25, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00,

  0x09, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x03, 0x00, 0x00, 0x00, 0x20, 0x00, 0x00, 0x00,

  0x01, 0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00,

  0x41, 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00,

  0x0C, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x22, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x3F, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x34, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x32, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x72, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x33, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x18, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0xA7, 0xFF, 0xFF, 0xFF,

  0x07, 0x00, 0x00, 0x00, 0x31, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0xF1, 0xFF, 0xFF, 0xFF,

  0x07, 0x00, 0x00, 0x00, 0x28, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x84, 0xFF, 0xFF, 0xFF,

  0x07, 0x00, 0x00, 0x00, 0xC1, 0xFF, 0xFF, 0xFF,

  0x07, 0x00, 0x00, 0x00, 0x1E, 0x00, 0x00, 0x00,

  0x07, 0x00, 0x00, 0x00, 0x7A, 0x00, 0x00, 0x00

我们进入vm函数后发现,虚拟机的流程大致是将我们的输入flag与a1字节码数组运算后存到V4数组中,然后比较V4数组与a1字节码中的某些数据是否相等,相等则输入正确。所以我们可以先得出数组V4。

我们将v4[v8] != a1[v10 + 1] 改为 v4[v8] = a1[v10 + 1]的出正确的数组,同时记录虚拟机的执行顺序即执行字节码的顺序。最后的出V4数组与执行字节码的顺序分别为:

unsigned char v4[] = { 0X22, 0X3F, 0X34, 0X32, 0X72, 0X33, 0X18, 0XFFFFFFA7, 0X31, 0XFFFFFFF1, 0X28, 0XFFFFFF84, 0XFFFFFFC1, 0X1E, 0X7A };

unsigned char Index[100] = { 1, 3, 4, 6, 7, 9, 10, 12, 13, 15, 16, 17, 18, 19, 20, 22, 23, 25, 26, 28, 29, 30, 31, 32, 33, 35, 36, 38, 39, 41, 42, 44, 45, 46, 47, 48, 49, 51, 52, 54, 55, 57, 58, 60, 61, 63, 64, 66, 67, 69, 70, 72, 73, 75, 76, 78, 79, 81, 82, 83, 84, 86, 88, 90, 92, 94, 96, 98, 100, 102, 104, 106, 108, 110, 112, 114 };

将虚拟机的算法的逆过程结合V4和Index得出代码求出flag。

int __cdecl vm_operad(int *a1, int a2)

{

  int result; // eax

  unsigned char Str[100] = {0}; // [esp+13h] [ebp-E5h]

  unsigned char v4[100] = {0x22, 0x3f, 0x34, 0x32, 0x72, 0x33, 0x18, 0xa7, 0x31, 0xf1, 0x28, 0x84, 0xc1, 0x1e, 0x7a }; // [esp+77h] [ebp-81h]

  char v5; // [esp+DBh] [ebp-1Dh]

  int v6; // [esp+DCh] [ebp-1Ch]

  int v7; // [esp+E0h] [ebp-18h]

  int v8; // [esp+E4h] [ebp-14h]

  int v9; // [esp+E8h] [ebp-10h]

  int v10; // [esp+ECh] [ebp-Ch]

  char Index[] = {1, 3, 4, 6, 7, 9, 10, 12, 13, 15, 16, 17, 18, 19, 20, 22, 23, 25, 26, 28, 29, 30, 31, 32, 33, 35, 36, 38, 39, 41, 42, 44, 45, 46, 47, 48, 49, 51, 52, 54, 55, 57, 58, 60, 61, 63, 64, 66, 67, 69, 70, 72, 73, 75, 76, 78, 79, 81, 82, 83, 84, 86, 88, 90, 92, 94, 96, 98, 100, 102, 104, 106, 108, 110, 112, 114};

  v10 = 0x72;

  v9 = 0xf;

  v7 = 0xf;

  v6 = 0xf;

  int i = 0;

  while ( 1 )

  {

    result = v10;

    if ( sizeof(Index) - i + 1 == 0 )

      return result;

    i++;

    switch ( a1[Index[sizeof(Index) - i]] )

    {

      case 1:

	--v9;

	--v7;

	--v10;

	v5 = v4[v7];

        break;

      case 2:

	v10 -= 2;

	Str[v9] = v5 - a1[v10 + 1];

        break;

      case 3:

	v10 -= 2;

	Str[v9] = v5 + LOBYTE(a1[v10 + 1]);

        break;

      case 4:

	v10 -= 2;

	Str[v9] = v5 ^ a1[v10 + 1] ;

        break;

      case 5:

	v10 -= 2;

	Str[v9] = v5 / a1[v10 + 1];

        break;

      case 6:

	--v10;

        break;

      case 7:

        v10 -= 2;

	break;

      case 8:

	--v6;

	--v10;

	v5 = Str[v6];

        break;

      case 10:

        --v10;

        break;

      case 11:

	--v10;

	Str[v9] = v5 + 1;

        break;

      case 12:

	--v10;

	Str[v9] = v5 - 1;

        break;

      default:

        continue;

    }

  }

}

利用符号执行

符号执行

符号执行指的是用符号值来代替某些变量的真实值,用符号值来遍历程序所有的执行分支,而用真实值只能遍历一条分支。然后通过约束求解引擎来在筛选所有的分支选出符合条件的那一个,最后得出正确的输入值。

angr

angr是二进制程序分析框架,可以用来进行完成符号执行。

在此题目中我们希望程序执行到vm函数自然返回处,而不会执行到what a shame...处,这样就说明其输入正确。

vm函数自然返回处的地址为0x40175E

what a shame...处的地址为0x4016e6

所以我们可以利用angr写python符号执行脚本:

import angr                                                #导入angr库

p = angr.Project('signal.exe',auto_load_libs=False)        #创建一个Project,程序不引用任何其他导入库

st = p.factory.entry_state()                               #将程序加载并执行到入口处,返回其状态

sm = p.factory.simulation_manager(st)                      #创建一个模拟执行器

sm.explore(find=0x40175E, avoid=0x4016E6)                  #设置约束条件,find是程序需要执行到的地址,avoid是程序不能执行到的地址

print(sm.found[0].posix.dumps(0))                          #输出结果

参考:https://www.52pojie.cn/thread-1176826-1-1.html

一道VM的逆向所引发的符号执行思路的更多相关文章

  1. 一道国外前端面试题引发的Coding...

    刚刚看到CSDN微信公众号一篇文章,关于国外程序员面试前端遇到的一道测试题,有点意思,遂写了下代码,并记录一下~ 题目是这样的: ['Tokyo', 'London', 'Rome', 'Donlon ...

  2. 一道有意思的笔试题引发的对于new操作符的思考

    楼主比较喜欢看一些很短但很有意思的题目,无意间又瞥到了一题,大家不妨可以一试.(原题链接猛戳这里) function Fn1() { this.name = 'peter'; return { nam ...

  3. 一道JS面试题所引发的"血案",透过现象寻本质,再从本质看现象

    觉得本人写的不算很烂的话,可以登录关注一下我的GitHub博客,新手写东西写的不好之处,还望见谅,毕竟水平有限,写东西只为交流提高,一起学习,还望大神多加指点,指出纰漏,和提出宝贵的意见,博客会坚持写 ...

  4. 通过JS逆向ProtoBuf 反反爬思路分享

    前言 本文意在记录,在爬虫过程中,我首次遇到Protobuf时的一系列问题和解决问题的思路. 文章编写遵循当时工作的思路,优点:非常详细,缺点:文字冗长,描述不准确 protobuf用在前后端传输,在 ...

  5. 【一天一道LeetCode】#57. Insert Interval

    一天一道LeetCode系列 (一)题目 Given a set of non-overlapping intervals, insert a new interval into the interv ...

  6. 网络爬虫之记一次js逆向解密经历

    1 引言 数月前写过某网站(请原谅我的掩耳盗铃)的爬虫,这两天需要重新采集一次,用的是scrapy-redis框架,本以为二次爬取可以轻松完成的,可没想到爬虫启动没几秒,出现了大堆的重试提示,心里顿时 ...

  7. x32下PsSetLoadImageNotifyRoutine的逆向

    一丶简介 纯属兴趣爱好.特来逆向玩玩. PsSetLoadImageNotifyRoutine 是内核中用来监控模块加载.操作系统给我们提供的回调. 我们只需要填写对应的回调函数原型即可进行加监控. ...

  8. 「每日一题」有人上次在dy面试,面试官问我:vue数据绑定的实现原理。你说我该如何回答?

    关注「松宝写代码」,精选好文,每日一题 ​时间永远是自己的 每分每秒也都是为自己的将来铺垫和增值 作者:saucxs | songEagle 来源:原创 一.前言 文章首发在「松宝写代码」 2020. ...

  9. JavaScript OOP 之「创建对象」

    工厂模式 工厂模式是软件工程领域一种广为人知的设计模式,这种模式抽象了创建具体对象的过程.工厂模式虽然解决了创建多个相似对象的问题,但却没有解决对象识别的问题. function createPers ...

随机推荐

  1. (3)MySQL进阶篇SQL优化(索引)

    1.索引问题 索引是数据库优化中最常用也是最重要的手段之一,通过索引通常可以帮助用户解决大多数 的SQL性能问题.本章节将对MySQL中的索引的分类.存储.使用方法做详细的介绍. 2.索引的存储分类 ...

  2. IPFS是什么?IPFS与Filecoin有什么关系?

    Filecoin 基于 IPFS 的去中心化存储网络,是 IPFS 上唯一的激励层,是一个基于区块链技术发行的通证.Filecoin 翻译过来就是文件币,简称为 FIL. 在 FIlecoin 网络中 ...

  3. LayUi表单模块无法正常显示

    问题: 当我们再使用LayUI的Form表单模块时,我们会把自己需要的表单赋值到我们的页面中,但是会出现无法正常显示的问题,如下: 出现原因: LayUI官方文档也明确表示:"当你使用表单时 ...

  4. 第一次OOP作业-Blog总结

    前言 第一次作业一共八道题,此次作业也是这三次作业中最接近面向过程程序设计的题目集,整体难度偏低,总耗时1.5h,主要的知识点在熟悉Java的语法上,整体题目的逻辑非常清晰简单,但最后一个判断三角形类 ...

  5. InlineHook

    前言 IATHOOK局限性较大,当我们想HOOK一个普通函数,并不是API,或者IAT表里并没有这个API函数(有可能他自己LoadLibrary,自己加载的),那我们根本就从导入表中找不到这个函数, ...

  6. 懵了!女朋友突然问我MVCC实现原理

    前言 都知道事务的可重复读级别实现原理是使用MVCC实现的,那么你对MVCC的底层实现原理知道多少呢?面试高频点,你值得拥有. 一.MVCC到底是什么? MVCC即多版本控制器,其特点就是在同一时间, ...

  7. web编辑工具 - Brackets - 强大免费的开源跨平台Web前端开发工具IDE

      简单使用可以参考: https://blog.csdn.net/melon19931226/article/details/68066971/ https://www.iplaysoft.com/ ...

  8. python基础(二):数据类型

    数据类型 学习Python时,一定要注意Python中数据类型和数据结构的学习,这对于你是否能够学好Python其中很重要的作用. 什么是数据类型? 人类有思想,很容易区分汉字和数字的区别,例如,你知 ...

  9. 透视HTTP协议,带你拨开纷繁复杂的表象

    一个HTTP,打趴80%面试者! HTTP是一个在计算机世界里专门在两点之间传输文字.图片.音频.视频等超文本数据的约定和规范.如果你不懂HTTP协议,那就相当于是个只有半桶水的程序员. 在这个专栏中 ...

  10. CMD控制台(命令提示符)的打开方式

    打开CMD的方式 打开+系统+命令提示符 Win键 +R 输入cmd 打开控制台(推荐使用) 在任意的文件夹下面,按住shift键+鼠标右键点击+在此处打开命令行窗口 资源管理器的地址栏前面加上cmd ...