vmprotect源代码保护底层原理机制

《vmprotect源代码保护底层原理机制》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、一、VMP简单介绍VMProtect是一款虚拟机保护软件，是目前最为流行的保护壳之一，与其他类型保护软件不同的是，它使用的是虚拟机保护技术，侧重点在于保护所指定的函数，增加逆向分析的复杂度。二、VMP逆向分析·虚拟机保护特征：·将由编译器生成的本机代码(NativeCode)转换成字节码(Bytecode)·将控制权交由虚拟机，由虚拟机来控制执行·转换后的字节码非常难以阅读，增加了破解的复杂性虚拟机其实就是一个字节码解释器，它循环的读取指令并执行，并且它只有一个入口和一个出口(vm_exit)。通过静态分析，我们可以分析

2、出整个执行引擎的完整代码。将所有选项全部开启后的结果如图：这时大量的fakejcc（虚假跳转）和垃圾指令使原来十分简单的代码变得非常复杂。如果要对加了壳的程序做一些处理，比如设定一些规则，将虚假分支清除后，流程图就会和未加壳时一样清晰了。如果再清除掉垃圾指令，那就会更清晰了。经过处理后，新的流程图分析起来难度就会降低很多。如图：·VMP的HandlerVMP是基于堆栈的虚拟机（Stack-BasedVirtualMachine）,然而虚拟机指令并不显式的使用某个参数，而是先将参数压入堆栈，然后直接从堆栈中读取。例如：表达

3、式：Addeax,ecx可以翻译为：PushecxPusheaxAddPopeax无论push进来的是谁，Add指令总是读取并弹出堆栈中存放的值。·VMP指令分类汇编指令在转换到虚拟机的指令体系的过程中，被最大限度的化简和归类了，VMP中的指令大体分五类：·算术运算和移位运算·堆栈操作·内存操作·系统相关（无法模拟指令）·逻辑运算·逻辑运算指令Vmp中的逻辑运算只有一条指令:nor。这个指令在电路门中叫NOR门，它由三条指令组成，即notnotand，与NAND门一样，用它可以模拟notandxoror这四条逻辑运算指令

4、。转换公式：P(a,b)=~a&~bnot(a)=P(a,a)and(a,b)=P(P(a,a),P(b,b))or(a,b)=P(P(a,b),P(a,b))xor(a,b)=P(P(P(a,a),P(b,b)),P(a,b))·寄存器轮转VMP将所有寄存器都存放在了堆栈的结构中（VM_CONTEXT），结构中的每一项代表一个寄存器或者临时变量。但在运行过程中，其中的项所映射的真实寄存器都是不固定的，可以把它比作一个齿轮，每做完一个动作，部分项的映射就互换了一下位置，或者执行完一段指令，齿轮就按不固定的方向和度数转动一

5、下，然后全部的项映射就改变了。VMP在生成字节码的过程中，维护了一份结构中每一项所映射的真实寄存器，但这只存在于编译过程，而在运行时是没有明确的信息的。这直接导致了分析和识别的难度。·字节码加密和随机效验VMP把解码算法分布到了Dispatch和每个Handler中，只有在取指令和取数据时才会解密，而每个解码的算法也都是不同的，并且它的Seed每次解密都会变化的。要写出字节码的逆算法不是不可以，但是复杂度太高，有些得不偿失。所以如果想要修改数据，还是使用HOOK的方式比较轻松。·但是HOOK的方式得解决代码检测的问题，V

6、MP注册版除了会加密字节码以外，还会随机对一段代码做检测，如果有错将无法运行。VMP注册版中有一条叫指令（calchash），就是用来做检测的。VMP会在编译好的字节码中加一些自己的指令，每次执行都会随机对一段代码生成一个Hash结果，然后与另一个随机的数相加，结果必须为0，否则就会出错。如果要爆破或者修改VMP的代码，还需要处理这个过程。一、综上所述：VMProtect 是新一代的软件保护系统，不像其它常见的保护系统，VMProtect可以修改应用程序的源代码。通过对应用程序代源码的修改，来实现对软件的保护。总而言之V

7、MP的设计原则就是用最简单的正向设计导致最难的逆向分析。本文仅介绍VMprotect软件保护的底层原理机制，以便大家对VMProtect的了解更加深入。