首页
论坛
专栏
课程

[分享]VMP学习笔记之Handle块优化与壳模板初始化(四)

2019-8-8 20:15 1703

[分享]VMP学习笔记之Handle块优化与壳模板初始化(四)

2019-8-8 20:15
1703

参考资料:

本文大量内容抄袭看雪作者:waiWH的VMP系列

1、名称:谈谈vmp的还原(2)

网址:https://bbs.pediy.com/thread-225278.htm

2、名称:汇编指令之OpCode快速入门

网址:https://bbs.pediy.com/thread-113402.htm

3、名称:X86指令编码内幕 --- 指令 Opcode 码

网址:https://blog.csdn.net/xfcyhuang/article/details/6230542


说明:

1、流程 == 加密函数个数(一般demo版本只允许加密一个流程)

2、用户代码跟壳自身代码(模板)都会用Vmp_AllDisassembly函数解析

2、1 保存用户代码结构体

它们0x8跟0x10都是指向相同的结构体

2、2 保存壳自身模板结构体

它们0x8跟0x10都是指向相同的结构体

3、我比较了下1.10跟1.21,发现1.21自带Encoding of a p-code保护

1.10


1.21

未加密前的一般长这样子(1.10未启用加密的):

加密后(1.21自带加密):


壳主要干了什么?

1、初始化壳模板:指令变形、等价替换

例如:

jmp = push + retn 或则 lea + jmp

lods byte ptr ds:[esi] = mov al,[esi] + inc esi 或则 mov al,[esi] + add esi,1

等等

2、优化Handle块代码,将不使用的直接删除

ESIResults[X] == 0表示不使用,这种就会优化

ESIResults[X] == 1表示使用

3、找出填充虚拟机上下文的两个Handle块


正文:

1、找出壳模板push 0xFACE0002与mov edi,0xFACE0003

总结:

1、循环遍历作者设计的Handle块找到符合条件的例如:

规律if(v227 & 0xFFFFFF00) == 0xFACE0000

2、所使用的结构体如下:


2、根据pNtHeader_OptionalHeader.Magic筛选ESI_Matching_Array数组

首先我们得到的信息有:

1、ESI_Matching_Array每一组是8个字节,一共有0Xcc组,也就是总长度是0x660=8*0xCC

目前已知:

ESI_Matching_Array[0]  == 与Magic有关

ESI_Matching_Array[1]  == ??

ESI_Matching_Array[2]  == VMOpcode

ESI_Matching_Array[3]  == ??

ESI_Matching_Array[4]  == ??

ESI_Matching_Array[5]  == Size

ESI_Matching_Array[6]  == ??

ESI_Matching_Array[7]  == 未使用,都是0

2、v184数组保存所有结果0或则1

3、第一个判断:v16 = _bittest(v15, Type & 0x7F)成立条件

我们查询汇编指令得知BT是位测试

目前只讨论win32PE结构,Type都是=1

我们发现*(byte*)(ESI_Matching_Array+0)的值只有6(‭0110‬)或则4(‭0100‬)

6=0110     bt 1      第一位的值给CF,就是1,不成立继续执行第二个判断

4=0100     bt 1      第一位的值给CF,就是0,成立v17=0,不继续执行第二个判断

4、总结:

1、v184保存结果的什么时候使用、区别这个有什么意义?1跟0有什么区别?

答:

1表示使用

0表示未使用(后期优化掉)

2、ESI_Matching_Array与VmHandle块对应(我整理了一份,未必全对的只作为参考)


3、判断用户解析Opcode有没有需要特殊处理的指令

这些都是一些不常用的指令,如果存在就在ESIResults[X]=1,表示使用

假设找到的话执行Vmp_GetVmHandleIndex函数

v184==ESIResults就是我们前面筛选的,如果有就在指定位置+1,表示使用


4、将Jmp Handle跟Jmp VMDispatcher分别存储

4、1 Jmp Handle处理方法

首先来看ESI_Matching_Array[0]==6,v52成立的条件

然后拿v214->FunAddr去struc_SaveAllDisasmFunData数组里面找到符合

DateTimeToStr_2函数查找过程,查找到返回该数组下标,然后用GetItem_7读取出该数组:

条件是:v214->FunAddr == struct_DisassemblyFunction->LODWORD_VMP_Address

基础版(struc_SaveAllDisasmFunData):

然后判断ESIResults[Number_1]==1,如果成立将找到的DisassemblyFunction结构体保存起来

最后将该找到的DisassemblyFunction结构保存到v7->Esi_Addr[4 * Number_1]

4、2 Jmp VMDispatcher处理方法

1、直接去struc_SaveAllDisasmFunData数组查找,找到直接保存

2、与Jmp Handle相比少了ESIResults[Number_1]过滤跟将结果保存到*(_DWORD *)&v7->Esi_Addr[4 * Number_1]


4、3 执行完毕结果

IDA定义的结构体:

OD显示:


4、4 Jmp VMDispatcher与Jmp Handle的含义是什么意思?

如图所示:

Jmp VMDispatcher就是:

注意看jmp short 00474989这一句,每个Handle块执行完毕都是跳回到VMDispatcher进行下一轮字节解析

Jmp Handle就是:

VmpHandle块,每个Handle对应不同的功能


5、根据前面符合Jmp Handle满足条件的Number_1作为循环因子

1、经过前面筛选Number_1=0XCC,一般HandleX与ESI_Matching_Array都是一一对应,大小都是0xCC

2、只是设置的基本的Mod信息跟VmpOpcode=0x23

3、new出来的struct_VmFunctionAddr结构只是设置了助记符=0xB

4、强行扩充到0xFF大小,不足的new struc_SavePartDisasmFunData和struct_VmFunctionAddr结构,具体作用不明


6、将不符合条件的struc_SaveAllDisasmFunData和struc_SavePartDisasmFunData1从数组中删除

1、专门找ESIResults[X] == 0的

2、ESIResults[X]与v7->Esi_Addr[4 * X]一一对应

3、找到VmpOpcode值是:0~9、0xC则退出,符合条件的基本上是:Jmp VMDispatcher找到后把该数组元素删除

4、清零v7->Esi_Addr[4 * X] = 0

5、看了一圈基本上是把整个HandleX解析信息的都删除,jmp XXXX标志结束

6、未被删除的如下:

总结:

1、ESIResults[X]与v7->Esi_Addr[4 * X]一一对应

2、ESIResults[X]==0,那么取对应的v7->Esi_Addr[4 * X]数组内容(struc_SaveAllDisasmFunData结构体)

3、struc_SaveAllDisasmFunData与struc_SavePartDisasmFunData1数组里删除该HandleX信息

4、判断到jmp XXXX为结束点,也就是整个Handle解析的信息都清除掉

5、ESIResults[X]==0就是不使用的了


7、随机数填充struct_VmpOpcodePY_80结构

sub_49FB90函数分析:

sub_49F958函数分析:


1、通过随机数取word_4EE0D8数组的下标,符合条件的跳到赋值的地方

2、退出条件是:要Add添加几组元素由Constant(参数2)决定,外加一句RandInt(1),百分之50%几率再来一次

3、它们使用的结构如下:

总结:

0、变形总结对照

RandomWord_4EE0EC是对add al,bl的变形

RandomWord_4EE0D8是对add bl,al的变形

1、填充这些数据到底怎么使用?

2、struc_47数据使用

我们发现执行完毕后一共有6组

第一组:

struc_47->RandomWord_4EE0D8=0x29 ->inc

struc_47->AddrRandomBuff=0x1

第二组:

struc_47->RandomWord_4EE0D8=0x43 ->rol

struc_47->AddrRandomBuff=0x5

第三组:

struc_47->RandomWord_4EE0D8=0x5C ->not

struc_47->AddrRandomBuff=0x5

第四组:

struc_47->RandomWord_4EE0D8=0x34 ->sub

struc_47->AddrRandomBuff=0xB0

第五组:

struc_47->RandomWord_4EE0D8=0x5C ->not

struc_47->AddrRandomBuff=0x0

第六组:

struc_47->RandomWord_4EE0D8=0x05 ->xor

struc_47->AddrRandomBuff=0x7A

刚好对应以下6句,因为1、3、5是单操作数所以struc_47->AddrRandomBuff不使用

3、struct_VmpOpcodePY_80->RandomWord_4EE0EC使用

第一种RandomWord_4EE0EC=0x4,注意看405069跟40507B这两句是add

第二种RandomWord_4EE0EC=0x34,注意看405069跟40507B这两句是sub

第三种RandomWord_4EE0EC=0x5,注意看405069跟40507B这两句是xor


8、使用struct_VmpOpcodePY_80~A0结构

1、目前发现符合if条件的只有register寻址方式的并且是add aXX,BXX这种,每次都是两条组合出现

2、通过i来区分到底取struct_VmpOpcodePY_80、struct_VmpOpcodePY_84~90、struct_VmpOpcodePY_94~A0其中一组

3、判断v227->RandomWord_4EE0EC!=4

第一种:RandomWord_4EE0EC!=4执行流程

第二种:RandomWord_4EE0EC==4执行流程

1、注意v277的值是struct_VmpOpcodePY_80~A0其中一组内容

2、根据随机值来执行不同的流程填充struct_DisassemblyFunction结构

3、针对第一种RandomWord_4EE0EC!=4执行流程主要是修改add aXX,BXX变成xor或则sub

4、针对第二种RandomWord_4EE0EC==4将第二句add bXX,aXX进行变形


8、1 SetDisassemblyFunction函数分析

如果说Vmp_Disassembly函数是将Opcode解析

那么SetDisassemblyFunction就是将解析后的Opcode再重新组装回去

判断是否存在前缀

根据前面Opcode选择读取对应主操作码,假设该Opcode操作码需要依赖Mod寻址就执行sub_49DFD0

根据ModRm_Mod寻址方式判断,从而构造不同的指令


举例子说明:

VmpOpcode=0x29

执行完毕后,指令就构造完毕:FE C0 对应汇编代码:inc al

总结:

1、设置struct_DisassemblyFunction的内容

2、用struct_DisassemblyFunction 提供的Opcode信息还原回一条完整的汇编指令


8、2 总结:

0、第一次执行才使用struct_VmpOpcodePY_80,非第一次都是使用struct_VmpOpcodePY_84~90或则struct_VmpOpcodePY_94~A0

1、针对壳模板的add指令进行修改变形处理


变形成:



9、保存寄存器环境的代码,注意后面会随机乱序的

原因:

为什么壳起始代码 push环境每次都是乱序的?如何实现的?

对应代码如下:



8个对应8个保存环境的push xxx

笔者为了方便测试所以全写成0,可见0 == push eax跟OD通用寄存器对应顺序一样

乱序代码:

只要打乱数组存放顺序就可以实现乱序了

它们保存在:

struct_VmpOpcode->struc_PushRegister指向的结构体


10、找到lods byte ptr ds:[esi]并保存起来


10、1 构造出PushRegister那几条指令

1、将不符合条件的全部删除,直到找到push 0xFACE0002这条为止

2、因为Vmp保存寄存器环境代码是随机性的,原始壳模板的是固定的所以要替换掉

3、因为 pushfd pushad模板后面必然是push 0xFACE0002

3、根据寄存器不同而设置不同的VmpOpcode,进行构造填充struct_DisassemblyFunction结构

4、返回:lods byte ptr ds:[esi]在数组第几个元素

OD最终效果图如下:

OD数组struc_SaveAllDisasmFunData->ArrayAddress排列顺序如下:

注意 struc_SaveAllDisasmFunData->ArrayAddress排列顺序 就是最终代码显示顺序



10、2 现在该处理lods byte ptr ds:[esi]指令了

0、lods byte ptr ds:[esi]指令介绍:

指令规定源操作数为(DS:SI),目的操作数隐含为AL(字节)或AX(字)寄存器。三种指令都用于将目的操作数的内容取到AL或AX寄存器,字节还是字操作由寻址方式确定,并根据寻址方式自动修改SI的内容。

一句指令相当于以下两句:

mov al,[esi]

inc esi

1、初始化v245跟v246数组,具体用处待定

2、找到处理的地方Vmp == 0x36

3、struct_DisassemblyFunction结构重新赋值

4、找到该struct_DisassemblyFunction所在的数组位置

5、并重新new个新的struct_DisassemblyFunction

6、根据随机数构造命令:INC、Add、lea,实际上只要实现esi+1都行


7、OD最终效果图:

8、原始模板的

9、前面的构造出了inc esi(add lea),那么还差一句mov al,[esi]

10、注意v158 = GetRandInt0123((int)&savedregs);这一句是随机获取0~3,也就是Reg:0=al、1=cl、2=dl、3=bl

11、注意这一句跟后面的指令都是有关联的,换了后面影响的指令都要换不同的Reg


10、3 处理Jmp Ret指令

1、通过随机数决定jmp ret指令是变换成:

随机数==2

lea exx,dword ptr ds:[eax*4+0x474FCF]

jmp [exx]

随机数==1

push dword ptr ds:[eax*4+0x4051BB]

retn

2、注意v238 = GetRandInt0123((int)&savedregs);这一句,表示它的Mod.Reg寄存器是随机的0~3


10、4 处理Handle里面的Vmp_Ret函数

0、跟前面一样,将popad复杂化,变成pop eax、pop ecx等等

1、ESI_Matching_Array[2] == VMOpcode,符合条件的是:Vmp_Ret指令(pop xx popad popfd这种)

,{ 0x06,0x01,0x09,0x00,0x00,0x02,0x00,0x00, }

//00474FCB 58 pop eax; 123.0047499B

//00474FCC 61 popad

//00474FCD 9D popfd

,{ 0x06,0x00,0x08,0x00,0x00,0x02,0x01,0x00, }

//00474FC7 58 pop eax; 123.0047499B

//00474FC8 61 popad

//00474FC9 9D popfd

2、将popad跟popfd删除,直到遍历到ret就退出

3、将前面v7->struc_PushRegister保存的寄存器递减方式存储,注意去掉Esp寄存器


4、总结:

原始的:

pop eax

popad

popfd

ret

修改成:

pop eax

pop xx

pop xx

pop xx

xxxxx

ret


11、找到填充虚拟机上下文的Handle块

1、根据GetSize的返回值填充v223数组

2、根据大小跟助记符再过滤一遍Handle块,将符合条件的下标保存起来

3、符合条件的有2处(填充虚拟机上下文的Handle块):

{ 0x06,0x01,0x01,0x00,0x02,0x02,0x00,0x00, }

//0047499B 80E0 3C and al,0x3C

//0047499E FF3407 push dword ptr ds : [edi + eax]


,{ 0x06,0x01,0x02,0x00,0x02,0x02,0x00,0x00, }

//00474AC3 80E0 3C and al, 0x3C

//00474AC6 8F0407 pop dword ptr ds : [edi + eax]; 123.0047499B

4、未初始化的地方填充随机数

5、效果图:

实际有用的只有22跟0,其他都是随机数填充的


12、总结

1、其实这部分代码都是针对部分特殊指令进行变形替换

例如:jmp可以变成 jmp+ret

例如:lods byte ptr ds:[esi]可以变成 mov aXX,[ESI] INC esi 等等

2、涉及重定位的代码还是没有修复

例如:

push 0xFACE0002

mov edi,0xFACE0003

jmp dword ptr ds:[eax*4+0x474FCF]

jmp short 00474984

3、找到填充虚拟机上下文的两个Handle块


后续章节介绍:

1、剩下重定位修复

2、伪代码构造




[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-8-8 20:53 被黑手鱼编辑 ,原因:
上传的附件:
最新回复 (2)
xiaohang 3 2019-8-12 17:43
2
0
关注你了,希望以后继续努力
pxhb 2 2019-8-12 17:54
3
0
收藏以后学习,辛苦了,写这么多
游客
登录 | 注册 方可回帖
返回