吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 7081|回复: 146

[原创逆向图文] 编写VMP爆破插件(下)

  [复制链接]
jjyjjy003159 发表于 2023-10-5 20:28 | 显示全部楼层 |阅读模式

原本应该是中期,但是IAT修复打算另起帖子讲,不与jcc爆破合并一起,所以直接到下期,iat还原过几天也会写的
快一个星期了,把下期也写一下
本期开始先补充一点理论知识
关于VMP JCC的知识:
在实际中,我们会采用CMP来判断,JCC使用的ZF位判断跳or不跳
我们vmp也是同样
但是不是使用cmp来判断
vmp利用其它加减法指令代替了原有的CMP指令
而加减法指令被他的万用门实现了,所以我们vm虚拟机中没有直接判断jcc的cmp
cmp eax,0x1000
sub eax,0x1000
这两个指令得到的ZF标志位相同
这里知道了,那么VMP是如何提取出一个EFL中ZF标志位的呢
fakename.png
这是我找的一张图片,里面的ZF前面mask对应的是0x40
那么实际中就需要
and eax,ecx     eax=0x40   ecx=eflangs
然后这一步后,
还要看他前面的Bit#
shr eax,0x6
综合起来就是
and eax,ecx
shr eax,0x6
and   ---eax=0x40   ecx=eflangs
shr    ---如果eax=0x40  则eax=0x1   如果eax≠0x40  则eax=0x0
然后vmp就通过判断这个执行jcc跳转
所以这就是为什么我的插件可以发现,每一个版本基本都是搜索shr xxx,0x6


然后jcc理论知识补充完毕,开始实战写代码
游客,如果您要查看本帖隐藏内容请回复


以后会有更多好东西发出来的~


评分

参与人数 28HB +90 THX +15 收起 理由
耐心等待 + 1 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
叁壹伍 + 1
消逝的过去 + 1
蜗牛跑了快 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
再来壹瓶 + 1 + 1
奇思妙想 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
糖拌饭 + 1
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
NOP + 1
willgoon + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
天空星辰 + 1
霜晨小烈 + 1
xiaoxixpj + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
taobao199010 + 2
热咖啡 + 1 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
58fly + 2 + 1
嗜血狂魔 + 1
longge188 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
太阳神 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
sjtkxy + 2 + 1
2lht_love + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
Shark恒 + 50 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
192939 + 2 + 1
boot + 6 + 1 学破解防破解,知进攻懂防守!
寞叶 + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
美好映像 + 2 + 1
卡卡作者 + 2 + 1 很强

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
寞叶 发表于 2023-10-5 21:15 | 显示全部楼层

希望下次是编写vmp还原插件

评分

参与人数 1HB +3 收起 理由
jjyjjy003159 + 3 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
卡卡作者 发表于 2023-10-5 20:30 | 显示全部楼层

我看看                                                   
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
fghtiger 发表于 2023-10-5 20:56 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
为码盘 发表于 2023-10-5 21:53 | 显示全部楼层

先藏为敬
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
boot 发表于 2023-10-5 22:18 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Scorpio 发表于 2023-10-5 22:19 | 显示全部楼层

巡查员强啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
50311048 发表于 2023-10-5 22:30 | 显示全部楼层

希望能增加x64dbg插件。

点评

jjyjjy003159”点评说:
请问有没有xdbg的插件开发文档和sdk?想找一份开发  详情 回复 发表于 2023-10-5 22:34
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| jjyjjy003159 发表于 2023-10-5 22:34 | 显示全部楼层

50311048 发表于 2023-10-5 22:30
希望能增加x64dbg插件。

请问有没有xdbg的插件开发文档和sdk?想找一份开发
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
sunsan 发表于 2023-10-5 22:49 | 显示全部楼层

看看思路 好处理一点
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
赞帖
2层
3层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表