彩票走势图

代码保护软件VMProtect学习笔记——反汇编引擎学习(下)

转帖|使用教程|编辑:李显亮|2020-03-11 11:10:30.540|阅读 264 次

概述:小编大家整理了大佬们的使用技巧和经验与大家分享,希望能够帮助你解决实际运用中遇到的问题。本文讲解反汇编引擎学习。

# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>

VMProtect是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。

【下载VMProtect最新试用版】

小编大家整理了大佬们的使用技巧和经验与大家分享,希望能够帮助你解决实际运用中遇到的问题。本文接着介绍关于反汇编引擎。

③特殊Opcode解析

一般例如jmp call都是需要二次解析的

代码保护软件VMProtect学习笔记——反汇编引擎学习

拿条命令举例说明:jmp dword ptr ds:[eax*4+0x474FCF] 这一条命令就是跳到不同的Handle块执行,jmp它Opcode是FF所以对应的VMOpcode=0xC

代码保护软件VMProtect学习笔记——反汇编引擎学习

根据跳转类型判断,判断E8 E9 EA 近 段间 短跳转

代码保护软件VMProtect学习笔记——反汇编引擎学习

例如像那种:jmp VMDispatcher就会符合条件例如像那种:jmp VMDispatcher就会符合条件

代码保护软件VMProtect学习笔记——反汇编引擎学习

我们这个是else if ( DisassemblyFunction->Magic == 2 )

代码保护软件VMProtect学习笔记——反汇编引擎学习

解析sub_4918E8函数

代码保护软件VMProtect学习笔记——反汇编引擎学习

代码保护软件VMProtect学习笔记——反汇编引擎学习

首先看一看sub_494F60函数,保存VmOpcode信息跟Displacement,再根据大小读取,设置ModRM信息

代码保护软件VMProtect学习笔记——反汇编引擎学习

代码保护软件VMProtect学习笔记——反汇编引擎学习

v5->First.ModRM_mod__Or__Size = 2;jmp dword ptr ds:[eax*4+0x474FCF] 就是这种寻址方式

代码保护软件VMProtect学习笔记——反汇编引擎学习

SetDisassemblyFunction_Address函数解析

代码保护软件VMProtect学习笔记——反汇编引擎学习

if ( v8->VMOpcode == 1 || (result = v8->VMOpcode - 3, v8->VMOpcode == 3) )成立条件

v533->VMOpcode=1:

case 0xA8: // Test al,imm8

case 0x16u: // push ss

case 0x1Eu: // push ds

case 0x50~0x57: // 50=push rax/r8 51=push rcx/r9以此类推

case 0x68u: // push Imm32/16

等等

v533->VMOpcode=3:

case 0xC7u: // MOV R/M32,IMM32

case 0x20: // and Eb,Gb

case 0x22: // and Gb,Eb

等等

SetDisassemblyFunction_Address函数涉及到的结构体如下:

代码保护软件VMProtect学习笔记——反汇编引擎学习

执行依次SetDisassemblyFunction_Address标记结尾。(注意这里参数2就是:0xC)

代码保护软件VMProtect学习笔记——反汇编引擎学习

代码保护软件VMProtect学习笔记——反汇编引擎学习


VMProtect正版授权专享在线订购特享超低价格!还不赶紧加入你的订购清单?
标签:

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@cahobeh.cn

文章转载自:

为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP