0x00 前言

看到有朋友提前发相关文章了，没办法我也只能提前发了。

首先文章不同于其他的文章，从vmp是如何vm opcode入手，看完以后不说还原，相信爆破，静态分析也应该有所帮助。

主要是vmp3.x以下。

0x01 简介vmp的流程

大体如下：

直接定位到流程：

首先读了vmp_opcode_begin_block end_block

然后计算_vm_opcode_size

没错，之前的帖子有提到，vmp作者设计了4套handle，就是这4套了。

注意到上上图113行之后，同时我们也可以看出早期版本的构造

下面这个，之前也有提到

注意到+8，之后会说

先允许我跳过esi的构造以及修复，继续讲下去

可以看到vmp通过这样方式实现jmp vm_entry，所以有些vm插件会通过这种方式来定位到入口

68 xx xx xx xx e9 xx xx xx xx

之后，创建区段vmp0

set jmp_entry

之后写之前的push esi jmp vm_entry了

然后写完之后写vmp1区段，流程大概就这个样子,当然我跳过了构造esi以及对esi的修正

0x10 反汇编引擎

之所以会先谈谈这个，因为如果不看懂这个，后面的vm流程肯定看不懂

为了逆出这个反汇编引擎，我看了几遍opcode的构造方式以及一份开源的反汇编引擎(libudis86)。不过正因为如此，我才大概猜测出来一部分，vmp作者是如何构造这套vm的。

这个函数大概3000+行

这下面通过这两条指令来看看是怎么反汇编的,当然需要一些基础知识。

817D FC 33020000   cmp dword ptr ss:[ebp-0x4],0x233//563

75 09                         jnz short zf.0040D7E2

读取opcode

然后通过switch跳转

先判断类型

注意到*(a2-10)其实是对应的这个东西

再上个图就明白为什么是 (xx & 2 ) == 2了

然后读modrm 0x7D进行查找mnemonic

对应的mnemonic

之后就是解析modrm了挺精妙的，看图就好

先对modrm.mod进行分析

判断是否行如[base+disp]

如果是   判断是否有address size override prefix

判断是否包含sib

读取disp

之后再读取immediate

创建下一个结构体,读取opcode 0x75

其他的没啥好说的看一看,_vmp_SetJccIndex

是不是感觉很有意思把hex & 0xf然后switch

可能这样不是很明白

那么我们先看看0x70~0x7f这些opcode是什么

那么对照一下就明白了

Vmp作者为了区分溢不溢出 低于不低于做了一个很有意思的事情

初始化了一个

0x11

然后把不溢出不低于的,也就是形如jnx 带n的这样做了

0x11|2

那么理解了之后就得到反汇编引擎的结构了

对应内存中：

0x11 结束语

写得有点仓促，也懒得整理了。

下一贴主要是讲vmp是如何膨胀指令的。

本文由看雪论坛 waiWH 原创

转载请注明来自看雪社区

往期热门阅读：

点击阅读原文/read，

更多干货等着你~

扫描二维码关注我们，更多干货等你来拿！