环境:
vmp版本:3.8.1 professional 为了方便分析,只勾选反调试选项(user-mode+kernel-mode)
初始化工作:
首先vmp会调用RtlAllocateHeap然后通过peb取到ldr链来获取ntdll的模块基址(图中高亮行),接着使用二分查找通过解析导出表获取ZwQueryInformationProcess的地址,然后调用他
vmp会判断0xcc断点,不要在函数头下断,可以用硬件断点
参数0x1a(ProcessWow64Information)表示查询进程是否运行在wow64下(影响后续反调试流程,本文仅分析当前流程下vmp走的反调试流程)
然后调用ZwOpenSection、ZwMapViewOfSection copy 一份 ntdll,通过特征码0xb8获取函数的服务号ZwUnmapViewOfSection和ZwClose
左边不难猜测是vmp用来进行直接系统调用的服务号,0xD ZwSetInformationThread印象深刻...右边则有一些有趣的函数的地址
开始进行反调试:
紧接着,根据以下条件进行不同的反调试。
是否是wow64环境(前面有提到)
系统的版本(fs:[zxsq-anti-bbcode-0x30]+0x0a4 OSMajorVersion : Uint4B)下图高亮行
处理器类型(KUSER_SHARED_DATA + 0x26a NativeProcessorArchitecture : Uint2B)下图高亮行的下一行
如图,在当前环境下,vmp用“天堂之门”将代码切换到x64执行。然后我就干瞪眼了半天,OD没法调试x64的代码
除此之外我在jmp far 和返回地址00C7CE2A处分别下硬件执行断点,然后F9运行几次,发现经过两次x32到x64切换之后,vmp似乎已经检测出调试器,使用NtRaiseHardError来弹窗提示然后退出。然后我通过观察堆栈,发现有一处红色变动的值0xFFFFFFFF,我尝试将其置0,发现流程继续下去到了第三个jmp far,之后再弹窗退出。此时很明显已经干预了一处反调试的结果。
因为od、x32dbg、x64dbg都没办法在切换成x64后调试,所以我就用unicorn模拟执行和windbg来继续分析x64代码(吐槽一下,切换x64之后还是在虚拟机里执行代码,好恶心啊)
可以发现在切换到x64代码后,vmp进行直接系统调用(rax=0x1c ZwSetInformationProcess)来disable InstrumentationCallback参数 ProcessInformationClass = 0x28
然后我尝试对syscall下断,发现程序直接异常退出或者断不下来rdtsc的返回值,从多个不同但结果相同的路径中随机选择一个路径执行,尝试修改rdtsc返回值,会发现模拟到不同的路径。这也就是为什么实际执行和模拟的结果不同(可以通过patch rdtsc返回值让他实际走的流程跟模拟流程一致)
既然在切换到x64之后仍然是进行直接系统调用,并且他没有访问一些其他内存(或者做其他一些操作),而且我发现他前2次x32切换到x64都是走这个jmp far,我就有了个大胆的想法。它应该是有个类似的封装好的函数可以走x64系统调用,想象中的几句伪代码如下
x64_code:
(可能是一些准备工作)
syscall
(将结果保存等等)
retf
function MakeX64DirectSystemCall (服务号,参数1,参数2,...,返回值):
push cs
push ret_addr
&nbs
支付2UD,阅读全文
还有更多的精彩内容,作者设置为付费后可见
滇ICP备2022002049号-2 
滇公网安备 53032102000034号)
