VMP分析插件应用实例.docVIP

VMP分析插件应用实例：一个简单的CrackMe 由 广告伞 ()整理 上次更新添加了算法分析功能，可以反出类似高级语言的表达式，现在分析简单的程序应该没什么问题了，很多人说不太会用，这里给一个实例分析，讲解一下用法。这篇文章只讲插件的应用和一般的分析方法，还简单介绍了一下VMP加壳的原理和脱壳方法，其他内容比如插件分析原理和虚拟机代码还原方法等请看VMP分析插件的帖子。/showthread.php?t=154621先随便输入一些内容，用户名zdhysd，注册码qwertyuiop，点确定弹出注册码错误的提示。在MessageBox设个断点看看哪里来的，再点确定直接出错，看来有断点检查，在最后的retn设断点试试。这回断下来了，返回到 代码: 004CBAE8???????????9C???????????????????PUSHFD 004CBAE9???????????C70424?AFF5A7F9??????MOV?DWORD?PTR?SS:[ESP],F9A7F5AF 004CBAF0???????????E8?1F41F7FF??????????CALL?VMPCrack.0043FC14 004CBAF5???????????9C???????????????????PUSHFD 004CBAF6???????????90???????????????????NOP 004CBAF7???????????9C???????????????????PUSHFD ... 不像正常代码，应该是虚拟机中调用的，在这里点右键，菜单选择分析虚拟机，分析成功，找到5个虚拟机。先不用分析虚拟程序，因为函数返回时在虚拟程序的中间，可以先选中进入虚拟机时中断，运行，切换到虚拟机调试模式了，Ctrl+F9运行到返回，返回到 代码:??????????8B4424?08????????????MOV?EAX,DWORD?PTR?SS:[ESP+8]??????????2D?????????SUB?EAX,110??????????74?1A????????????????JE?SHORT?VMPCrack.004029B5 0040299B???????????48???????????????????DEC?EAX 0040299C???????????75?3A????????????????JNZ?SHORT?VMPCrack.004029D8 0040299E???????????8B4424?0C????????????MOV?EAX,DWORD?PTR?SS:[ESP+C] 004029A2???????????66:3D?0100???????????CMP?AX,1 004029A6???????????75?15????????????????JNZ?SHORT?VMPCrack.004029BD 004029A8???????????8B4424?04????????????MOV?EAX,DWORD?PTR?SS:[ESP+4] 004029AC???????????50???????????????????PUSH?EAX 004029AD???????????E8?5EFEFFFF??????????CALL?VMPCrack???***这个函数被加密了 004029B2???????????83C4?04??????????????ADD?ESP,4??????***返回到这里 004029B5???????????B8?????????MOV?EAX,1 004029BA???????????C2?1000??????????????RETN?10 这里已经是正常代码了，跟进CALL?VMPCrack上来就是一个JMP，应该是进入虚拟机的，在这里分析虚拟程序。先选上反汇编后自动分析和分析选项里的分析虚拟机内调用，选中反汇编后自动分析会在每个虚拟程序反汇编后自动做数据和算法分析，选中分析虚拟机内调用会自动分析虚拟机内调用的函数。分析选项中除了化简无效数据以外也都选中，这样生成的代码比较简单，一般情况下无效数据都是没有用的，不化简可以节省很多时间。分析用了70多秒，一共分析出了19个虚拟程序，16万多行代码，看看记录，有几个未知的vESP改变和多个来源vESP不同，可能是调用引起的，先不管他。还有一个未知指令，一般没有什么影响，插件会自动分析指令相关的信息继续反汇编，遇到时再说吧。因为有虚拟机内调用，虚拟机内调用要在当前程序分析完成后才会分析，这是有些信息无法得到，最