• vmp3.0.9全保护拆分解析


    https://mp.weixin.qq.com/s/WO6w_L-cYwH5KB2rilZdag



    以下为了避免插件干扰,故采用x64dbg原版进行分析。

     



    首先我通过检测到调试器的弹窗进行栈回溯,定位到该关键点:
    CALL eax

     

    由于才接触Vmp,所以是把各个保护拆分开来进行的分析,会比较简单一些,不过全保护其实也就是凑在一起罢了,只要注意顺序就行啦。

     

    本帖只是分析基础保护反调试反虚拟机等,不涉及还原VM和分析VM代码的部分。属于新手贴一类,适合萌新观看,大佬轻喷,有错漏之处,敬请指正,谢谢。

     

    EverEdit编辑器是加的一个vmp的壳子,虽然特征和这里分析的不太一致,但是反调试路子大致一样的,而且虽然是vmp但是通过trace跟踪和分析也是可以暴力破解的,可以拿来练手,这里推荐一下。

     

     

     

    一、反调试保护

     

     

    1. 调用 IsDebuggerPresent,判断返回值eax==1被调试,eax==0没有调试。

     

     

     

    2. CheckRemoteDebuggerPresent,判断buffer返回值是0还是1,1被调试,0没有调试。

     

     

    3. NtQueryInformationProcess,ProcessInfoClass=0x1E 来获取调试句柄,判断是否被调试,调试句柄返回0且eax的返回值是0xC0000353

     

     

     

    4. NtSetInformationThread,ThreadInfoClass=0x11,这个不是检测调试,而是设置不把调试信息发送到调试器,可以直接把0x11修改为0x3或者其它数值就可以了。

     

     

    5. ZwQuerySystemInformation,SystemInfoClass=0x23(MACRO:SystemKernelDebuggerInformation),返回值是2字节的bool值,设置为0即可。

     

     

    6. ZwQuerySystemInformation,SystemInfoClass=0xB(MACRO:SystemModuleInformation),会去遍历内核模块,然后进行判断,第一次是获取需要存储的buffer长度,第二次才是真正获取信息,只要把buffer都置为0,就检测不到调试了,至于buffer的位置会在第一次调用后使用LocalAlloc申请空间来存储。

     

     

     

    7. CloseHandle反调试,如果被调试了,那么KiRaiseUserExceptionDispatcher 函数会被调用,走异常处理流程;如果是不被调试的状态,不会走向异常流程。

     

     

    8. 检测硬件断点,是通过SEH异常来处理的

     
    首先在SEH链中对当前模块的SEH头下一个软件断点

     

     

    然后把图示中的Dr0、Dr1、Dr2、Dr3、Dr6、Dr7调试寄存器都修改为0

     

     

    然后F9再次到CALL eax的时候如果是 GetpRrocessAffinityMask 函数调用,说明反调试已经顺利通过。

     

    PS:上面对CALL eax下的是硬件断点,注意不要下软件断点,因为前面ZwSetInformationThread 后(User-mode反调试)或者第三次最后一次NtQuerySystemInformation 后(Kernel-mode)反调试会有如下图所示的软件断点检测,其实vmp的内存保护一部分的原理和这个一致,代码特征几乎都一样,取出来的HEX字节也是存放在esi寄存器中。所以为了方便,最好下硬件断点,因为硬件断点检查触发的时机都是在SEH函数中,很好拦截。

     

     

     

     

    二、反虚拟机

     

     

    1. CPUID判断ECX最高位31位是否为1,如果是1那么就是在虚拟机中,如果是0那就是在宿主机上。我自己加壳的这个样本有两个CPUID检测点,等它执行后修改ecx最高位为0就行。

     

    不过下面的贴图演示的是使用修改虚拟机的.vmx配置文件的方式,更加方便。

     

     
    2. 使用 GetSystemFirewareTable 获取系统固件信息,判断其中有无下列字符串:VMware、VirtualBox、Parallels。注意大小写,只需要等GetSystemFirewareTable执行完成后对内存搜索VMware字符串(因为我用的VMware虚拟机),然后填充为0就可以过虚拟机检测了。下面我会贴一个脚本配合 OD+StrondOD+DrxProtect 使用的,主要就是填充VMware字符串。

     

     

     

    三、IAT解密

     

     

    1. 我没有分析它是如何加密的,只是简单的分析了调用函数的解密过程,其实十分简单:进入解密函数后单步f7,当看到类似:lea register,dword ptr[register+imm](register:寄存器,imm:立即数)的语句,在执行完成后register中就是函数,再跟踪几步通过ret一类的就去执行真正的函数了

     

    2. 不知有无遗漏......

     

     

     

    四、内存保护

     

     

    1. 内存保护和上面分析的软件断点几乎一样,对你修改的内存下硬件访问断点,就可以看到在取HEX字节然后运算,不再贴图了,只要把取出来的esi的数值替换为原来的数值就行了

     

    2. 不知有无遗漏......

     

    jpg改rar 

  • 相关阅读:
    【CTF WEB】函数绕过
    【CTF WEB】命令执行
    【CTF WEB】文件包含
    【CTF WEB】GCTF-2017读文件
    【技巧总结】Penetration Test Engineer[5]-Operating System Security(SQL Server、MySQL提权)
    【技巧总结】Penetration Test Engineer[4]-Web-Security(文件处理、会话管理、访问控制、SSRF、反序列化漏洞)
    【技巧总结】Penetration Test Engineer[3]-Web-Security(SQL注入、XXS、代码注入、命令执行、变量覆盖、XSS)
    【技巧总结】Penetration Test Engineer[2]-Information gathering
    【技巧总结】Penetration Test Engineer[1]-Basic
    【 Linux 】单台服务器上并发TCP连接数
  • 原文地址:https://www.cnblogs.com/kuangke/p/9524691.html
Copyright © 2020-2023  润新知