探讨VMP 2.12.3 导入表修复

壳版本:VMProtect.Ultimate.2.12.3

样本:notepad.exe

目的:IAT修复

作者:MrWrong

标题:探讨VMP 2.12.3 导入表修复

只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!

 

    由于仅是对VMP壳的导入表加密进行较为肤浅地探讨,所以对样本notepad的加VMP壳时,资源保护并未选择,也并未对OEP进行偷取或对其VM(虚拟化)。

    一般加密壳都是将对调用导入表中系统函数的FF25型、FF15型、MOV reg, [iat_addr]型指令转换成call addr_in_shell_section(目标地址在壳区段的call)。这些call所做的工作是通过加壳时保存的数据信息,“绕着弯儿”执行原指令。VMP也不例外,只是它不拘一格,形式多变,难以修复。

修复导入表是实现脱壳文件可跨平台运行的关键,大致过程如下:

    1、OD加载并执行到OEP后,保存环境。

      2、在代码段搜索call addr_in_vmp_section,直到搜索完整个待修复区域,跳到4。

       3、修复找到的位置,回到1。

       4、上UIF。

       5、上ImportREC。

       6、上LoadPE删除VMP0和VMP1两个区段,并重建PE。

过程3是关键:

       在找到的位置新建eip并记录此地址为S,F7(步入)跟踪执行直到如下指令对出现:

push dword ptr[esp+param1]

retn param2

在"retn param2"处停下,并记录:

A=[esp];

B=[esp+param1+8];

C=[esp+4];

D=param2-param1;

 

此后分几种情况分析:

 

第一种情况: FF25(call dword ptr[iataddr])的变形

如果A是一个系统函数地址,并有(D==4)&&(B==(S+6)||B==(S+5))为真

则此E8的call是变形自FF25形式的call。

此时修复为:

*(byte*)(B-6)=0x90;

*(byte*)(B-5)=0xE8;

*(dword*)(B-4)=A-B;

 

第二种情况 FF15(jmp dword ptr[iataddr])的变形

如果A是一个系统函数地址,并有(D==8)&&(B==(S+6)||B==(S+5))为真

则此E8的call是变形自FF15形式的jmp dword prt[iataddr]。

此时修复为:

*(byte*)(B-6)=0x90;

*(byte*)(B-5)=0xE9;

*(dword*)(B-4)=A-B;

 

第三种情况 mov e??, dword ptr[iataddr]的变形

A不是一个系统函数地址,并有(D==4)&&(A==(S+6)||A==(S+5))为真

则此时有一下几种情况需要判断,这是由于被变形前字节数的原因。

因为 "mov eax, dword ptr[iataddr]"是5个字节(A1+iataddress)

而其他的都是六字节,如:

mov ebx, dword ptr[iataddr] (8B1D+iataddress)

mov ecx, dword ptr[iataddr] (8B0D+iataddress)

mov edx, dword ptr[iataddr] (8B15+iataddress)

mov esi, dword ptr[iataddr] (8B35+iataddress)

mov edi, dword ptr[iataddr] (8B3D+iataddress)

确定为第三种情况后,则先记录下"call addr_in_shell_section"处的寄存器环境,

在"retn param2"处对各个寄存器进行对比,哪个更改了,要修复的目标函数地址就在哪个寄存器里。

5字节的情况直接修复成:mov eax, iataddress

6字节的情况修复成: mov e??, iataddress + (nop)

目前由于本实例只看到6字节的情况,所以本条规则还不完全,暂定于此。

 

另外一个值得重视的情形是:

mov ebx, dword ptr[iataddr] (8B1D+iataddress)

mov ecx, dword ptr[iataddr] (8B0D+iataddress)

mov edx, dword ptr[iataddr] (8B15+iataddress)

mov esi, dword ptr[iataddr] (8B35+iataddress)

mov edi, dword ptr[iataddr] (8B3D+iataddress)

这5种6字节情况都有可能被修改成

push e??

call addr_in_shell_section

指令对的形式。

这中情况下,对比寄存器是否改变的方式就会有不足之处:因为call  addr_in_shell_section里面的代码会在"retn param2"之前已经将push e??的值从堆栈中取出并赋给了e??,而之前保存的寄存器环境是在call addr_in_shell_section指令处。这会导致对比e??的环境也发生了改变,而e??并不是我们所要寻找的目标。

这种情况可以在对比寄存器的时候,若发现有两个寄存器值不相同,则去取push e??这条指令,把e??排除。

 

    我相信这些壳方面的技术早早地已经掌握在大牛们的手里了,只是最近壳的人气日衰,很少有人发表相关技术。可能还有诸多情况,鄙人水平有限,错误在所难免,修复的脚本在别的系统跑起来好像会存在一点点问题,好在自己的win7 64位系统是跑过了。仅是抛个砖,不足之处还请诸位大侠赐教。

 

    最后特别感谢好朋友KeyKernel的帮助。独学而无友,则孤陋而寡闻。

怎么上传附件啊我擦

 

https://files.cnblogs.com/MrWrong/vmp2.12.3_iat_fix.zip

posted @ 2014-04-02 12:23  MrWrong  阅读(2466)  评论(0编辑  收藏  举报