VMProtect肤浅认知记录（一）

VMProtect肤浅认知记录（一）
大家好！我是Cari别人还是喜欢叫我阿狸。好吧。有洋气的名字也不错呢。
到鲨鱼哥的论坛不发点什么不好意思了。
我啥也不会，肤浅探讨。
感谢ximo LCF-AT 等各种前辈写的zeus插件以及脚本。不借助前辈们的插件，脚本手脱VMP简直无法想像。
论坛看到个这帖子


是这么一个东西，那就简单说说自己了解的一点点肤浅认识，

题外话：VMP的虚拟机检测
方法一：从程序上处理（感觉每个程序都去搞好麻烦的样子）
Ctrl+F


原理：
in eax,dx这条指令在R3下会产生异常，而VMP在SEH里重新设置了新的EIP，初始化了新的VMContext，而在虚拟机里，这个异常不会触发。

先下个CC断点试试  F9运行


bom  触发了VMP的检测了。
我们F4运行到选定位置

Oh 这程序真是激情四射。
F8继续 把EDX，EBX置0  F9运行
由于我物理机是xp sp3的 没法看。这方法我也不推荐。此处就不截图了。
方法二：关闭虚拟机的后门 实现避开检测虚拟机
找到我们虚拟机镜像的路径

图中是我的一个路径

找到这玩意。这是我们镜像的配置文件
monitor_control.restrict_backdoor = "true"
在我们的最后这里 加这么一句话 保存
这样基本可以避开大部分的壳检测，VMP，SE。TMD部分，而且不会卡
这么来比方法一的要简单，而且是针对镜像的。可是有个弊端，VMtool运行不起来了
那么双向拖拽复制粘贴功能也没了。在关闭后门之前双机装好内网传输工具解决疑问。
如果你的配置够好，那么
isolation.tools.getPtrLocation.disable = "TRUE"
isolation.tools.setPtrLocation.disable = "TRUE"
isolation.tools.setVersion.disable = "TRUE"
isolation.tools.getVersion.disable = "TRUE"
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "TRUE"
monitor_control.disable_ntreloc = "TRUE"
monitor_control.disable_selfmod = "TRUE"
monitor_control.disable_reloc = "TRUE"
monitor_control.disable_btinout = "TRUE"
monitor_control.disable_btmemspace = "TRUE"
monitor_control.disable_btpriv = "TRUE"
monitor_control.disable_btseg = "TRUE"
保险起见全加了。【尽管这样。TMD壳加的好的还是一样检测到。】


-------------------------------------------------------------------------------------------------
VMP自校验：
很多人喜欢对VMP程序打补丁。不知道你们打补丁有没有发现 时机不对打着打着就被检测了，然后你的程序整个没法用。
还有的人直接保存出来了。暗自高兴，修改完保存了。一运行。被检测。
这就是VMP的一个自校验。
怎么看有没有校验？
方法一：
Winhex打开我们的程序

到最后随便修改下，保存运行。File corrupted!. This program has been manipulated and maybe
it's infected by a Virus or cracked. This file won't work anymore.

方法二：

把程序拖拽到Lordpe重建pe（操作前先备份原程序）运行
File corrupted!. This program has been manipulated and maybe
it's infected by a Virus or cracked. This file won't work anymore.

第三种方法：
PE编辑器

非多处理器系统打勾。确定-保存-运行

VMP对文件校验三种方式：
1，        文件校验
2，        内存校验
3，        解码校验
之前也有人写个相关的教程说如何过掉文件校验，最简单的方法就是把输入表中的GetModuleFileNameW改成GetModuleFileNameA 这样使得VMP无法获取文件路径，接着后面CreateFileW返回的自然也就是-1，这样文件校验就可以过去了。不过这个方法到后期的版本貌似是不管用了。这里我介绍一个统一的方法。
进行这三种校验handler是GetHash这个handler，可以用fkvmp找到。
这个handler的主要功能就是对一段给定大小和起始地址的数据进行自定义的hash运算。 得到的结果在虚拟机里面进行比较。
除去文件校验以外，其他两种校验因为涉及到区域比较多，所以均在程序里面对应一个表，这个表包含多个大小为0xC的结构：
+0 RVA
+4 size
+8 hash

这个表是经过加密的，使用的时候在虚拟机里面逐个解密，这个表就是我们的突破口。
在进行校验的时候，程序会循环读取这个表的内容，解码后进行校验。这样就意味着有一个循环变量来指示循环的结束，也就是这个表的大小。幸运的是，vmp在进行后面两次校验之前会首先校验其对应的hash表 来保证hash表的合法性，这就给了我们机会找到这个表的位置和大小。

值得注意是：在内存校验的时候，循环变量用的是表项数，也就是表的大小/0xC, 而文件校验的时候使用的是这个表的大小
知道表的位置和大小了，就可以处理了，主要有两个思路：
1，把hash表的每一项都改成相同的，也就是让程序一直在校验同一个地方。然后再修改下gethash这个handler，让他在校验hash表的时候返回正确的值即可。
2，找到循环变量，把变量改成最小值，让程序以为已经读完整个表，继而结束校验。

烟雨Hyperchem大牛演示过第二种方法，不过操作视频已经消失了。
Ximo的另一种方法：
HOOK VM_Add32然后把eax的值0和4置换。
好了。题外话就到这里。
*******************************************************************
接下来看下论坛小伙伴的这个程序  用ximo的方法（只是其中一种方法不要对号入座说有的zeus无效。）这个比较简单，其余方法看心情慢慢发
OD载入

我哩个擦。这都啥。
Zeus一番蹂躏后

哦多K
庆幸OEP没被偷也没被V。运行

发帖这个小伙伴说的关机什么的倒是没发生呢。
关OD 清空UDD。接下来修复iat

OD载入。M来到内存

找到神器蹂躏后的区段 NewIAT 复制地址跟到这里

丝固一。就是这

打开UIF

啪啪啪。就各种填
第一个参数Process ID 就是我们的PID你可以从

这里得到也可以这样

接下来Start

真不少啊

此时我们的OD界面内容已经这样了。
先别关闭UIF。 打开ImpREC

修改参数


获取下输入表
全部有效，接下来抓取文件把程序dump出来





然后转储到dump文件。
运行
如果程序不是打算拿去卖，自己用就可以逆向直接保存使用了。


此时完成了IAT的一个修复。本机可以运行。如果程序VM了部分代码那么此时放到别的xp下运行 就会报错，因为CPUID还没处理
**************************************************
接下来找CPUID    一种是patch  patch会触发内存随机校验  一种是补区段
接下来说patch
清空UDD   载入OD。
下个帖子再说

看起来好麻烦的样子。。。。

Cari系列精华.1

等待你的  VMProtect肤浅认知记录（二）

最好来个视频教程  哈哈 先谢谢楼主了  我处理了CPUID  可是还是不行  技术不行啊  。等待你的续集

我也正在弄cpuid找到登陆窗口地址了，貌似还不可以运行，不知道是哪一步出错了

http://www.unpack.cn/thread-71059-1-1.html
算是原创吧，毕竟贴上图片

你这个IAT没有修复好，你难道没发现吗

你还没有搞清楚什么crc，什么IAT修复区别，生搬硬套，那个是没用的

我觉得你说不对，你试试修复看看吧，我估计会不行，

heiheidz 发表于 2014-10-16 17:52
http://www.unpack.cn/thread-71059-1-1.html
算是原创吧，毕竟贴上图片

老大 看不见呢