关于Code Virtualizer pcode解密的一种方法
原文链接:http://bbs.pediy.com/showthread.php?t=137265
【详细过程】
1.VM的解密算法
一般情况下Code Virtualizer的解密有三个运算:add,sub,xor,有如下计算;
loads/b/w/d
operand eax/ax/al ebx/bx/bl //与key进行计算
operand eax/ax/al imm32/imm16/imm8
operand eax/ax/al imm32/imm16/imm8
operand ebx/bx/bl eax/ax/al //更新key
其中esi指向pcode的数据,ebx为解码key,也就是进入虚拟机前压入堆栈的值:
push xxxxxxxx //解码key,正常等于esi
jmp VMStart
2.方法
让VM代码在emulator中执行,记录寄存器和堆栈状态,并HOOK相应的操作,应该可以得到pcode的id
3.x86 emulator
应该有好多,本次采用的是PyEmu,并结合IDA和IDAPython
4.明文pcode的获取
设置emulator初始环境,设置EIP,指向虚拟机取指令处,为了使emulator顺利执行,安装异常处理函数,当发现异常时记录异常状态,重设EIP,指向下一指令(有问题??),并在更新key处监视eax/ax/al的值,这就是明文pcode,对python不熟悉(缩进实在无语,有可能是我的编辑器有问题),这个emulator BUG多多,不可能完整跑下来,修改了几处,以dump_wmimmc.sys为例,简单测试了取指令:
import sys sys.path.append(r'D:\reverse\IDA\python\pyemu') sys.path.append(r'D:\reverse\IDA\python\pyemu\lib') from PyEmu import * emu = IDAPyEmu() #debug=0,1,2,>2 emu.debug(0) vlizer_start = SegByName(".reloc") vlizer_end = SegEnd( vlizer_start ) #load vlizer section for i in range(vlizer_start,vlizer_end,4): emu.set_memory(i,Dword(i)) print "[*] Finished loading vlizer section into memory,Start at %x,End at %x,size:%x"%(vlizer_start,vlizer_end,vlizer_end-vlizer_start) flag=1 instack=0 #eip=fetchcode emu.set_register("eip",0x10013bd6) #ebx=key emu.set_register("ebx",0x10018cca) #esi=ebx+delta emu.set_register("esi",0x10018cca) #edi=vmctx+delta emu.set_register("edi",0x10013880) while True: eip=emu.get_register("eip") mnemonic=GetMnem(eip) op1=GetOpnd(eip,0) op2=GetOpnd(eip,1) #push eax,ax if mnemonic=="push": if GetOpType(eip,0)==1 and GetOperandValue(eip,0)==0: instack=1 #pop eax,ax elif mnemonic=="pop": if GetOpType(eip,0)==1 and GetOperandValue(eip,0)==0: instack=0 #push eax,ax #pop eax,ax elif mnemonic=="mov": if op1=="[esp]": if GetOpType(eip,1)==1 and GetOperandValue(eip,1)==0: instack=1 elif op2=="[esp]": if GetOpType(eip,0)==1 and GetOperandValue(eip,0)==0: instack=0 elif mnemonic=="add" or mnemonic=="sub" or mnemonic=="xor": if GetOpType(eip,0)==1 and (GetOperandValue(eip,0)==0 or GetOperandValue(eip,0)==0x10): #operand eax/ax/al ebx/bx/bl if GetOpType(eip,1)==1 and (GetOperandValue(eip,1)==3 or GetOperandValue(eip,1)==0x13) and flag: print "%s %s,%s"%(mnemonic,op1,op2) flag=0 #operand eax/ax/al imm32/imm16/imm8 else: if not instack: if GetOpType(eip,1)==1: print "%s %s,%x"%(mnemonic,op1,emu.get_register(op2)) elif GetOpType(eip,1)==5: print "%s %s,%x"%(mnemonic,op1,GetOperandValue(eip,1)) #operand ebx/bx/bl eax/ax/al if (GetOpType(eip,0)==1 and (GetOperandValue(eip,0)==3 or GetOperandValue(eip,0)==0x13)) and (GetOpType(eip,1)==1 and (GetOperandValue(eip,1)==0 or GetOperandValue(eip,1)==0x10)): print "%s %s,%s"%(mnemonic,op1,op2) print "handleindex:%x"%emu.get_register("eax") break emu.execute()
输出:
sub al,e9
add al,bl
add al,e9
xor al,d2
sub al,f1
add bl,al
handleindex:2d
最后清理后的取指令为:
loadsb
add al,bl
xor al,d2
sub al,f1
add bl,al
movzx eax,al
jmp dword ptr [edi+eax*4]
测试可行,起个抛砖引玉的作用。
关于Code Virtualizer pcode解密的一种方法相关推荐
- python字符串解密代码,python字符串加密解密的三种方法分享(base64 win32com)
1. 最简单的方法是用base64: import base64 s1 = base64.encodestring('hello world') s2 = base64.decodestring(s1 ...
- Base64加密与解密的三种方法
前言: 加密与解密一直是程序猿经常需要面对的东东,下面了解一下常见的base64的三种加密与解密的方法. public static final String str="zhangtao&q ...
- web.config/app.config敏感数据加/解密的二种方法
一.利用代码加解密 using System.Web.Configuration; //加密web.Config中的指定节 private void ProtectSection(s ...
- visual studio code无法连接网络,五种方法
1:visual s studio code现在无法连接到扩展商店,请稍后再试 2:visual s studio code无法连接网络 解决方法一: 1:设置代理 代理1:自己的局域网代理ip,需要 ...
- python隐藏手机号码程序_Python网站手机号码解密的一种方法
黄页88网站反爬措施对手机号进行了一些加密处理.这里介绍一下怎么解密手机号码的方法. 首先,我们看一下网站显示的手机号是这样的: 显示的手机号 使用ctrl c复制粘贴后变成了这样: 复制后的手机号码 ...
- 再谈web.config/app.config敏感数据加/解密的二种方法
转载请注明来自"菩提树下的杨过"-http://www.cnblogs.com/yjmyzz/archive/2008/08/22/1274395.html 1.利用代码加解密 ...
- java map初始化方式_java中Map和List初始化的两种方法
第一种方法(常用方法): //初始化List List list = new ArrayList(); list.add("string1"); list.add("st ...
- swoolephp加密_PHP中给源代码加密的几种方法
商业使用推荐 Swoole Compiler 代码加密 以下是如何通过PHP的自定义函数来加密我们的PHP源代码 方法一 function encode_file_contents($filename ...
- JavaScript加密解密7种方法!
本文一共介绍了七种JAVASCRIPT加密方法: 在做网页时(其实是网页木马呵呵),最让人烦恼的是自己辛辛苦苦写出来的客户端IE运行的JAVASCRIPT代码常常被别人轻易的拷贝,实在让自己的心里有点 ...
最新文章
- Linux 网络编程—— libpcap 详解
- UNIX环境高级编程 第12章 线程控制
- JavaScript的Cookie操作
- 文本编辑器中替换对话框的设计与实现
- Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制
- crontab 详细用法 定时任务
- Linux glibc内存管理:用户态内存分配器——ptmalloc实现原理
- 学习笔记(21):Python网络编程并发编程-队列的使用
- 【渝粤教育】国家开放大学2018年春季 7397-21T家庭教育咨询与辅导 参考试题
- Bitmap尺度变换
- 520送你一份WebStorm的主题包,附带使用图文教程
- 演义群侠传(五)【素材方式MC or SpriteSheet】
- mysql 运维常见操作
- SAP License:SAP实施应该建立扁平化组织结构
- JFlash 对Flash内容读取
- Scrapy 链家网爬取(存储到MySQL、json、xlsx)
- 笔记本开机循环显示:this product is covered by one or more of the following patents 解决办法
- html左右箭头翻页代码,左右箭头图片_js实现图片上显示左右箭头类似翻页效果的代码...
- L2-036 网红点打卡攻略
- 连续时间 Markov 链从某一状态 i 转移到其他状态之前在 i 逗留的时间服从指数分布
热门文章
- 如何用一个makefile编译多个目标
- 让进度条颜色渐变的shader
- 从零到一学习计算机视觉:朋友圈爆款背后的计算机视觉技术与应用 | 公开课笔记...
- mysql 1033 Incorrect information in file 错误
- 这些独家记忆串成我们的2022
- Context-free grammar 与 BNF,ASN.1
- 线性回归,逻辑回归个人总结
- 教妹学Java(十四):switch 语句详解
- Midjourney 文本转图片接口请求参数
- ccf 3. 缺席考试的是谁?(难度3)