软件分析的敲门砖VM技术入门

现在的软件除了加上加密狗外,在加加密狗前还加了一层保护壳,如果想对加密狗分析,就得清楚这层壳的分析,不然对有壳的软件很难进行下去。加壳程序是从TLS开始运行的,我们首先点击OD的options菜单,修改Startup and exit选项,让OD中断在TLS callback里。加壳程序运行后,VMP初始化VM,并进入DISPATCH部分。这里我们就以初始化后的堆栈为例。
VM的堆栈一共使用61个DWORD,上下分别有2个堆栈指针,下面为EBP指针,上面为EDI指针。下面是VM初始化时,给EDI和EBP指针赋值后的堆栈。
EDI=0013F8BC
EBP=0013F9B0
CPU Stack
Locked    Value      ASCII Comments
0013F8BC   009539E8  9.                                        ;这里是EDI指向
0013F8C0   00950000  ...
0013F8C4   00150000  ...
0013F8C8   00000080  ...
0013F8CC   019314D6  
0013F8D0   0013F8A8  .
0013F8D4   7C92E920   |
0013F8D8   00000000  ....
0013F8DC   00000000  ....
0013F8E0   00000000  ....
0013F8E4   FFFFFFFF
0013F8E8   7C98FEFF  |     
0013F8EC   7C00ADE7  .|
0013F8F0   00000000  ....
0013F8F4   00150000  ...
0013F8F8   0013F6F0  .
0013F8FC   0013F940  @.
0013F900   0013F944  D.
0013F904   7C92E920   |
0013F908   7C9301E0  |
0013F90C   FFFFFFFF
0013F910   7C9301DB  |    
0013F914   7C9314D6  |    
0013F918   7C931514  |   
0013F91C   7C99E120   |
0013F920   7C9314EA  |    
0013F924   5ADF1158  XZ
0013F928   00000001  ...
0013F92C   00000000  ....
0013F930   7FFDA000  .
0013F934   7FFDF000  .
0013F938   00158070  p.
0013F93C   0013F890  .
0013F940   00000000  ....
0013F944   0043D759  YC.   
0013F948   0000E9ED  ..
0013F94C   409B0002  .@
0013F950   00000020   ...
0013F954   0013F9CC  .
0013F958   0013F96C  l.
0013F95C   0043E9ED  C.    
0013F960   000359F4  Y.
0013F964   00000020   ...
0013F968   004253CD  SB.   
0013F96C   409B0000  ..@
0013F970   00000020   ...
0013F974   0013F9CC  .
0013F978   0013F98C  .
0013F97C   00000000  ....                                        ;这里是EBP指向
0013F980   00000000  ....                                        ;这里是VM初始化保存的各个寄存器
0013F984   00000246  F..
0013F988   000359F4  Y.
0013F98C   00000020   ...
0013F990   00000000  ....
0013F994   0013F9CC  .
0013F998   004253CD  SB.   
0013F99C   000359F4  Y.
0013F9A0   00400000  ..@.  
0013F9A4   0013F9C0  .
0013F9A8   C456C619  V                                        ;这里是VMP的2个加密数据
0013F9AC   2EF6420A  .B.
0013F9B0   7C92118A  |    ; RETURN to ntdll.7C92118A        ;这里是TLS进来时的栈顶
关于2个加密数据和初始化的过程我们后续来说,这里我们主要关注VM的堆栈划分。
我把上面的EDI指向的堆栈称为EDISTACK,把EBP指向的堆栈称为EBPSTACK。在VM中,EBPSTACK是运算区,各类数据的运算操作在这里完成;EDISTACK是存储区包括长期存储数据和临时存储EBPSTACK的运算数。
下面我们来看一条数据移动伪指令:
命名:
VM_MOVdw_EDISTACKdw_EBPSTACKdw
代码:
0043DC19  |.  F6D8          NEG AL                                   ; *
0043DC26  |.  C0C8 07       ROR AL,7                                 ; *
0043DC34  |.  2C 20         SUB AL,20                                ; *
0043DC41  |.  24 3C         AND AL,3C                                ; *

0043E080  |$  8B55 00       MOV EDX,DWORD PTR SS:[EBP]               ; *
0043E086  |.  83C5 04       ADD EBP,4                                ; *

0043D3D7  /> /891438        MOV DWORD PTR DS:[EDI+EAX],EDX           ; *
功能:
把1个dword的数据从EBPSTAK栈顶移动到EDISTACK,使用EAX作为偏移量

在EDISTACK的数据移动中,使用[EDI+EAX]的方式来存储与获取各个值。通过计算不同的EAX的值,可以到达EDISTACK中不同位置。在计算EAX值时,实际真正计算的是AL的值,我们来考虑一下AL的最小值和最大值,AL=00时[EDI+EAX]=[0013F8BC+00000000]=0013F8BC,AL=FF时[EDI+EAX]=[0013F8BC+000000FF]=0013F9BB,这是使用[EDI+EAX]可以读取的上下限。但是,在VM的AL值计算过程中,最后有一条AND AL,0x3C指令,0x3C=00111100bit由于这条指令的限制,无论AL为任何值(从00000000bit到11111111bit),通过AND操作,只能有1111bit的活动空间大小,1111bit相当于16,所以EDISTACK最多可以读取16个dword;由于00111100bit最后两个00位的限制,任何数字与它AND后,后两位都必然为0,变成与4对齐的值,说明VM都是按照0013F8BC 0013F8C0 0013F8C4 0013F8C8这样的4对齐来读取。在读取时,VM可以读取byte word dword,但是VM将不会去读取0013F8BE。
由于EDISTACK堆栈向下发展,EBPSTACK堆栈向上发展,EDISTACK有0x3C控制着范围,而EBPSTACK是操作区,没有硬性的范围控制。为了预防两个空间相撞,在每次往EBPSTACK移动数据后,VM都有相应的边界检测指令如下:
0043CE5A  |.  8D47 50       LEA EAX,[EDI+50]                         ; *
0043EE5D  |.  39C5          CMP EBP,EAX                              ; *
0043F08C  |.^\0F87 29F6FFFF JA 0043E6BB                              ; * 
比较结果 大于 ,这个正常的情况,在这个VM跟踪过程中,我没有发现一次小于的情况。如果小于,也就是EBPSTACK栈顶已经到达[EDI+50]位置,VM将会重新分配堆栈空间。0x50的偏移量比0x3C的偏移量多5个dword的缓冲区。我们来手动修改EBP指针,看看VM的对于两个堆栈空间即将相撞的处理情况:
CPU Disasm
Address   Hex dump          Command                                  Comments
0043F092  |.  52            PUSH EDX                                 ; 
0043D6C1  |.  8D5424 08     LEA EDX,[ARG.2]                          ; *EDX获得的是原来EDI指针地址0013F8BC
0043DF38  |.  8D4F 40       LEA ECX,[EDI+40]                         ; *0x40的偏移量是0x3C的偏移量数据1个dword结束后的位置
0043DF46  |.  29D1          SUB ECX,EDX                              ; *减法计算出数据存储量
0043DF4B  |.  8D45 80       LEA EAX,[EBP-80]                         ; *增加0x80的空间
0043DF5C  |.  24 FC         AND AL,FC                                ; *按4对齐
0043DF68  |.  29C8          SUB EAX,ECX                              ; *在增加原来数据大小的堆栈空间
0043DF6E  |.  89C4          MOV ESP,EAX                              ; *
0043DF7E  |.  56            PUSH ESI                                 ; |Arg1 = NOTEPAD.425748, *
0043DF87  |.  89D6          MOV ESI,EDX                              ; |*
0043DB3A  /$  8D7C01 C0     LEA EDI,[EAX+ECX-40]                     ; *
0043EC1E   .  89C7          MOV EDI,EAX                              ; *
0043EEED  |.  F3:A4         REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ ; *移动原来EDISTACK中存储的数据
0043EEF7  |.  8B7C24 10     MOV EDI,DWORD PTR SS:[ESP+10]            ; *
0043EEFF  |.  8B7424 10     MOV ESI,DWORD PTR SS:[ESP+10]            ; *
这里我们可以看到,每次发现两个堆栈空间即将相撞,VM都重新给EBP分配堆栈,并把原来EDISTACK存储的数据移动到新的空间内。
下面是使用OD跟踪VM堆栈的几个小技巧:
在OD中跟踪VM数据移动时,双击0013F8BC地址,OD将会以0013F8BC为基址,显示上下各个地址与它的偏移量,如图:
CPU Stack
Locked    Value      ASCII Comments
$-C        759D0000  ..u
$-8        00000001  ...
$-4        0013F8FC  .
$ ==>      009539E8  9.                                        ;这里是0013F8BC,双击后的效果
$+4        00950000  ...
$+8        00150000  ...
$+C        00000080  ...
$+10       019314D6  
   在跟踪VM时,在数据移动伪指令中的AND AL,0x3C的下一条指令下断点,这样每次进行数据移动,你都可以在这个断点看到,数据的去向和来源,这是极其有用的。在很多复杂的运算地方,你需要在草稿纸上记下,EDISTACK中一些空间的数据时来自于什么时候?比如标志位ZF检测+跳转是VM的一个重要操作,而EFLAGS标志数都是相差不多或类似的00000286 00000246等等,如果你不能准确知道[EDI+EAX]存储或读取的位置,你将无法理解VM的操作。这非常的重要,请牢记!必要时连OD得数据窗口也一起配合显示VM堆栈把OD里的堆栈窗口拉高,让它竟可能多的显示数据,在高分辨率的电脑上,最好是能够显示出整个VM的堆栈。默认情况下,堆栈窗口是随着ESP指针的变化而自动显示的,这对于我们要时刻盯着VM堆栈的需求不相符,在堆栈窗口-->右键-->Lock address 打钩,这样OD就会锁定堆栈窗口。

这些基本的操作在对加密狗破解是非常用的,有时对加密狗复制都需要用到,所以学好OD软件是非常好的一件事情。

上一篇:加密狗Rockey4ND的某软件破解分析
下一篇:没有了
X

点击这里给我发消息
微信号:crackgou