vmp exit:
popfd 标志vmp虚拟机结束
vm_start:
pushfd 标志vmp虚拟机开始
push:
mov [vsp±imm32(imm32±imm32)],reg32 新版vmp会把imm32混淆
然后现在vmp不知道为什么,他是push imm32两次,对vsp-8,所以需要监测vsp寄存器的变化来认定push
pop:
mov reg,mem
pop imm32两次,对vsp+8,所以需要监测vsp寄存器的变化来判断pop
(add)sub:
push reg1
push reg2
(sub)not reg1
mov reg,mem
mov reg,mem
add reg,reg
(sub)not reg
以上是本人花短时间分析的,插件识别Handler也不是什么难事,还有更多Handler后期会开源
分析软件:VMProtect 3.8.1
环境:Windows 7
[培训]《冰与火的战歌:Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。
最后于 2024-1-21 21:47
被黑蓝编辑
,原因:
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-280283.htm
[原创]VMP 3.8.1 部分handler特征
321 浏览
3 回复
支持一下
感谢分享
感谢分享,