[虚拟机保护逆向] [HGAME 2023 week4]vm

[虚拟机保护逆向] [HGAME 2023 week4]vm

      • 虚拟机逆向的注意点:
      • 具体每个函数的功能,和其对应的硬件编码的*长度* 和 *含义*,都分析出来后就可以编写脚本将题目的opcode转化位vm实际执行的指令 :
      • 分析完成函数功能后就可以编写脚本输出虚拟机实际执行的指令了:
      • 总结:虚拟机在逆向题中属于分析过程比较繁琐,难度较大的类型,但是结合具体的方法分析虚拟机执行的指令后也能轻松解决。下一期会继续逆向这个题目,逆向出本题的源代码(毕竟这才是逆向的终极步骤),加深对cpu(虚拟机)对指令的操作。

在这里插入图片描述
探险者安全团队已获得此文章的转载许可

虚拟机逆向的注意点:

  1. 根基题目来看,这是一道虚拟机保护逆向的题,这里的虚拟机不是传统意义上像VMware 的虚拟机,这里只是一个程序,执行了像cpu那样取指令、执行指令的操作,与汇编指令类似,但是这里的指令硬件编码经过了作者的修改(opcode),再结合其本身的编译器,和一些虚拟cpu的环境,来实现类似于cpu执行指令的操作,给逆向增加难度。 虚拟机的逆向题,一般分三个步骤:首先根据逻辑推测出各种寄存器(通用寄存器 和 ip),ip是指向当前硬件编码的指针,有他取出指令,然后根据程序具体取出的硬件编码和其对应的函数(指令)功能,来逆向出代表硬件编码的指令,最后根据函数功能编写脚本,结合题目中的硬件编码数组(opcode)来逆向出虚拟机实际执行的指令,根据指令实现的功能就可以对应逆向出flag。

  2. 程序查壳没有,直接使用ida打开,打开后如下:
    ​​描述

  3. 根基函数逻辑重命名后:

  4. 根据主函数可知,输入的flag是40位,输入完成后由vm_cpu函数进行操作,进入vm_cpu函数
    在这里插入图片描述

  5. 将a1类型改为声明int *方便查看。vm_cpu函数做了一个while循环,但直接看上去似乎着while循环执行的是重复错做,没有对a1[6]累加,直接从汇编层面可以看出着确实是一个循环,退出条件是从opcode中取出的硬件编码是0xff,猜想一改是在sub_140001940函数中对[rax+18h]这个内存出进行了加法操作,实现后移。所以可以大胆猜想rax+18h就是我们找的"ip寄存器"。在这里插入图片描述

  6. 引入下列题目提示的结构体(这里描述的就是虚拟机的结构体),并将函数中的所有a1全部转化成vm类型,便于查看逻辑:
    在这里插入图片描述

  7. 进入while循环里的函数,发现这里就是执行指令的函数位置:
    在这里插入图片描述

  8. 将a1声明位vm类型后分析这里函数的功能,分析后如下 :
    在这里插入图片描述

具体每个函数的功能,和其对应的硬件编码的长度含义,都分析出来后就可以编写脚本将题目的opcode转化位vm实际执行的指令 :

  1. mov函数:
    在这里插入图片描述
  2. push函数:在这里插入图片描述
  3. operation函数:在这里插入图片描述
  4. cmp函数:在这里插入图片描述
  5. jz函数:在这里插入图片描述

分析完成函数功能后就可以编写脚本输出虚拟机实际执行的指令了:

opcode = [0x00, 0x03, 0x02, 0x00, 0x03, 0x00, 0x02, 0x03, 0x00, 0x00,
          0x00, 0x00, 0x00, 0x02, 0x01, 0x00, 0x00, 0x03, 0x02, 0x32,
          0x03, 0x00, 0x02, 0x03, 0x00, 0x00, 0x00, 0x00, 0x03, 0x00,
          0x01, 0x00, 0x00, 0x03, 0x02, 0x64, 0x03, 0x00, 0x02, 0x03,
          0x00, 0x00, 0x00, 0x00, 0x03, 0x03, 0x01, 0x00, 0x00, 0x03,
          0x00, 0x08, 0x00, 0x02, 0x02, 0x01, 0x03, 0x04, 0x01, 0x00,
          0x03, 0x05, 0x02, 0x00, 0x03, 0x00, 0x01, 0x02, 0x00, 0x02,
          0x00, 0x01, 0x01, 0x00, 0x00, 0x03, 0x00, 0x01, 0x03, 0x00,
          0x03, 0x00, 0x00, 0x02, 0x00, 0x03, 0x00, 0x03, 0x01, 0x28,
          0x04, 0x06, 0x5F, 0x05, 0x00, 0x00, 0x03, 0x03, 0x00, 0x02,
          0x01, 0x00, 0x03, 0x02, 0x96, 0x03, 0x00, 0x02, 0x03, 0x00,
          0x00, 0x00, 0x00, 0x04, 0x07, 0x88, 0x00, 0x03, 0x00, 0x01,
          0x03, 0x00, 0x03, 0x00, 0x00, 0x02, 0x00, 0x03, 0x00, 0x03,
          0x01, 0x28, 0x04, 0x07, 0x63, 0xFF, 0xFF]
i=0
#还原成x86指令
for j in range(10000000):

    #直到FF为止结束,循环出口位置
    if opcode[i]==0xff:
        break

    # 开始匹配每次取出的指令
    match opcode[i]:
        case 0x00:  #mov指令

            print("(%d)"%(i),end="")#输出当前指令的位置,可以当成jz,jmp,jnz的跳转标记

            tmp=opcode[i+1] #取出第一个操作数
            if tmp==0:
                print("mov reg[0],flag[reg[2]]")
            elif tmp==1:
                print("mov flag[reg[2]],reg[0]")

            elif tmp==2:
                print("mov reg[%d],reg[%d]"%(opcode[i+2],opcode[i+3]))
            elif tmp==3:
                print("mov reg[%d],%d"%(opcode[i+2],opcode[i+3]))
            i+=4    #指令长度为4

        case 0x01:  #push指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            tmp=opcode[i+1] #push的读取下一个指令
            if tmp==0:
                print("push reg[0]")
            elif tmp==1:
                print("push reg[0]")
            elif tmp==2:
                print("push reg[2]")
            elif tmp==3:
                print("push reg[3]")
            i+=2    #指令长度
        
        case 0x02:  #pop指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            tmp=opcode[i+1]
            if tmp==0:
                print("pop reg[0]")
            elif tmp==1:
                print("pop reg[1]")
            elif tmp==2:
                print("pop reg[2]")
            elif tmp==3:
                print("pop reg[3]")
            i+=2    #指令长度

        case 0x03:  #运算指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            tmp=opcode[i+1]     #取出第一个操作数,判断运算方式
            if tmp==0:
                print("add reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==1:
                print("sub reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==2:
                print("mul reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==3:
                print("xor reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==4:
                print("shl reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            elif tmp==5:
                print("shr reg[%d],reg[%d]"%(opcode[i + 2],opcode[i + 3]))
            i+=4    #指令长度为4

        case 0x04:  #cmp指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("cmp reg[0],reg[1]")
            i+=1
        case 0x05:  #jmp指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("jmp %d"%(opcode[i + 1]))
            i+=2
        case 0x06:  #jz指令
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("jz %d"%(opcode[i + 1]))
            i+=2    #jz指令长度为
        case 0x07:
            print("(%d)"%(i),end="")#输出当前指令的位置

            print("jnz %d"%(opcode[i + 1]))
            i+=2

  1. 执行的指令如下:在这里插入图片描述
  2. 利用所学的汇编知识分析汇编指令实现的功能:上述指令表示的功能实际是一个循环,其中循环体内对输入的flag与内存中flag数组后面偏移50的数据进行加法,后与偏移为100处的数据异或,然后执行位移操作(实际上是高8位与低8位互换),最后于偏移为150位置的数据进行比较。在这里插入图片描述
  3. 提取flag后面偏移的数组后,根据逻辑编写处解密脚本如下:
a = [155, 168, 2, 188, 172, 156, 206, 250, 2, 185, 255, 58, 116, 72, 25, 105, 232, 3, 203, 201,
      255, 252, 128, 214, 141, 215, 114, 0, 167, 29, 61, 153, 136, 153, 191, 232, 150, 46, 93, 87]
  
b=[201, 169, 189, 139,  23, 194, 110, 248, 245, 110, 99,  99, 213, 70,  93, 22, 152,  56, 48, 115, 
   56, 193,  94, 237, 176, 41,  90,  24, 64, 167, 253,  10,  30, 120, 139, 98, 219,  15, 143, 156,]

c = [18432, 61696, 16384, 8448, 13569, 25600, 30721, 63744, 6145, 20992, 9472, 23809, 18176, 64768, 26881, 23552,
      44801, 45568, 60417,
      20993, 20225, 6657, 20480, 34049, 52480, 8960, 63488, 3072, 52992, 15617, 17665, 33280, 53761, 10497, 54529, 1537,
      41473, 56832, 42497, 51713]
c=c[::-1]
flag=[0]*40
for i in range(len(a)):
    flag[i]=((c[i]>>8)&0xff + (c[i]<<8))
    flag[i]^=b[i]
    flag[i]-=a[i]
for i in flag:
    print(chr(i&0xff),end="")

总结:虚拟机在逆向题中属于分析过程比较繁琐,难度较大的类型,但是结合具体的方法分析虚拟机执行的指令后也能轻松解决。下一期会继续逆向这个题目,逆向出本题的源代码(毕竟这才是逆向的终极步骤),加深对cpu(虚拟机)对指令的操作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/445090.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

跑马灯样式

这里的公告是要做成&#xff0c;跑马灯的样式&#xff0c;文字是会移动并且隐藏掉的。 HTML&#xff1a; <div class"notice"><div class"yrr"><img src"./img/ia_100000018.png" alt"" /></div><div …

循序渐进丨MogDB 数据库特性之动态数据脱敏机制

数据脱敏是行之有效的数据库隐私保护方案之一&#xff0c;可以在一定程度上限制非授权用户对隐私数据的窥探。动态数据脱敏机制是一种通过定制化脱敏策略来实现对隐私数据保护的技术&#xff0c;可以在保留原始数据的前提下有效地解决非授权用户对敏感信息访问的问题。当管理员…

Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349)

写在前面 CVE-2017-18349 指的是 fastjson 1.2.24 及之前版本存在的反序列化漏洞&#xff0c;fastjson 于 1.2.24 版本后增加了反序列化白名单&#xff1b; 而在 2019 年&#xff0c;fastjson 又被爆出在 fastjson< 1.2.47 的版本中&#xff0c;攻击者可以利用特殊构造的 …

js【详解】async await

为什么要使用 async await async await 实现了使用同步的语法实现异步&#xff0c;不再需要借助回调函数&#xff0c;让代码更加易于理解和维护。 (async function () {// await 必须放在 async 函数中try {// 加载第一张图片const img1 await loadImg1()// 加载第二张图片co…

xss.haozi.me靶机 通关

0x00 没有任何过滤可以直接注入<img srcx οnerrοralert(1)> 0x01 使用了testarea标签将我们的输入内容以普通的字符串进行展示 但是我们可以将标签进行闭合 </textarea><img srcx οnerrοralert(1)> 0x02 我们依然可以先闭合之后添加属性a" οncl…

Arcgis小技巧【20】——属性表有东西,缩放至图层却看不到?

一、问题分析 这是一个看似正常的要素类数据&#xff0c;打开它的属性表&#xff0c;里面有一行要素&#xff1a; 说明这不是空数据。 回到地图界面&#xff0c;在图层列表中&#xff0c;右键单击&#xff0c;点击【缩放至图层】。 使用过这个功能的应该知道&#xff0c;点击…

数据结构奇妙旅程之二叉平衡树

꒰˃͈꒵˂͈꒱ write in front ꒰˃͈꒵˂͈꒱ ʕ̯•͡˔•̯᷅ʔ大家好&#xff0c;我是xiaoxie.希望你看完之后,有不足之处请多多谅解&#xff0c;让我们一起共同进步૮₍❀ᴗ͈ . ᴗ͈ აxiaoxieʕ̯•͡˔•̯᷅ʔ—CSDN博客 本文由xiaoxieʕ̯•͡˔•̯᷅ʔ 原创 CSDN …

数据结构入门篇 之 【单链表】的实现讲解(附单链表的完整实现代码以及用单链表完成通讯录的实现代码)

虽然封面是顶针&#xff0c;但是我们还是要好好学习❀ 一.单链表 1.单链表的概念 2.单链表的结构 3.单链表的实现 1&#xff09;.尾插函数 SLTPushBack 2&#xff09;.打印函数 SLPrint 3&#xff09;. 头插函数 SLTPushFront 4&#xff09;.尾删函数 SLTPopBack 5&am…

docker容器的数据卷

1配置数据卷 docker run --namen01 -d --restartalways -p 80:80 -v /qy172/data/nginx/html:/usr/share/nginx/html nginx 2Docker应用部署 1搜索mysql镜像 docker search mysql 2拉取mysql镜像 docker pull mysql:5.6 3创建容器&#xff0c; 设置端口映射、目录映射 d…

Pycharm安装,环境初次配置与运行第一个简单程序

一、Pycharm安装 1.在PyCharm官网中&#xff0c;找到社区版下载链接&#xff0c;下载Pycharm社区版&#xff0c;社区版免费 2.下载成功后&#xff0c;双击下载好的安装包&#xff0c;点击下一步后&#xff0c;点击“浏览”更改安装路径到C盘以外其他硬盘&#xff0c;点击“下…

6 种 卷积神经网络压缩方法

文章目录 前言 1、低秩近似 2、剪枝与稀疏约束 3、参数量化 4、二值化网络 &#xff08;1&#xff09;二值网络的梯度下降 &#xff08;2&#xff09;两个问题 &#xff08;3&#xff09;二值连接算法改进 &#xff08;4&#xff09;二值网络设计注意事项 5、知识蒸馏 6、浅层 …

Pulsar 社区周报 | No.2024.03.08 Pulsar-Spark Connector 助力实时计算

关于 Apache Pulsar Apache Pulsar 是 Apache 软件基金会顶级项目&#xff0c;是下一代云原生分布式消息流平台&#xff0c;集消息、存储、轻量化函数式计算为一体&#xff0c;采用计算与存储分离架构设计&#xff0c;支持多租户、持久化存储、多机房跨区域数据复制&#xff0c…

SpringCloudGateway理论与实践

文章目录 网关介绍为什么需要网关Gateway 使用gateway pom依赖yml 配置重启测试总结 断言过滤器工厂路由过滤器的种类请求头过滤器默认过滤器全局过滤器总结 Gateway解决跨域 网关介绍 Spring Cloud Gateway 是一个基于Spring Framework 5&#xff0c;由Spring Cloud团队开发的…

定制repo(不再切换python和google源)

文章目录 定制repo&#xff08;不再切换python和google源&#xff09;前言各用各的repo定制repo2/repo3源码自动识别repo2/repo3项目完整解决方案&#xff1a; 定制repo&#xff08;不再切换python和google源&#xff09; 众知&#xff0c;Android/AOSP/ROM系统开发&#xff0c…

垃圾回收:JavaScript内存管理的利器

&#x1f90d; 前端开发工程师、技术日更博主、已过CET6 &#x1f368; 阿珊和她的猫_CSDN博客专家、23年度博客之星前端领域TOP1 &#x1f560; 牛客高级专题作者、打造专栏《前端面试必备》 、《2024面试高频手撕题》 &#x1f35a; 蓝桥云课签约作者、上架课程《Vue.js 和 E…

【SpringCloud】微服务重点解析

微服务重点解析 1. Spring Cloud 组件有哪些&#xff1f; 2. 服务注册和发现是什么意思&#xff1f;Spring Cloud 如何实现服务注册和发现的&#xff1f; 如果写过微服务项目&#xff0c;可以说做过的哪个微服务项目&#xff0c;使用了哪个注册中心&#xff0c;常见的有 eurek…

vue实现购物车功能

实现功能 CSS部分 <style>.tr {display: flex;}.th {margin: 10px;width: 20%;height: 50%;}.td {display: flex;margin: 10px;width: 20%;height: 100px;align-items: center;}.app-container .banner-box {border-radius: 20px;overflow: hidden;margin-bottom: 10px;}…

docker-swarm集群搭建

目录 一、docker swarm介绍 二、部署docker 三、搭建集群 3.1 工作模式 3.2 将当前主机作为leader 3.3 将第二个节点slave1加入到worker 3.4 将第三个节点slave2也加入到worker 3.5 将第四个节点(slave3)加入到manager 四、总结 一、docker swarm介绍 Docker Swarm…

CSS顶部与JS后写:网页渲染的奥秘

&#x1f90d; 前端开发工程师、技术日更博主、已过CET6 &#x1f368; 阿珊和她的猫_CSDN博客专家、23年度博客之星前端领域TOP1 &#x1f560; 牛客高级专题作者、打造专栏《前端面试必备》 、《2024面试高频手撕题》 &#x1f35a; 蓝桥云课签约作者、上架课程《Vue.js 和 E…

动态规划(算法竞赛、蓝桥杯)--数位DP度的数量

1、B站视频链接&#xff1a;E38 数位DP 度的数量_哔哩哔哩_bilibili #include <bits/stdc.h> using namespace std; const int N34; int a[N];//把B进制数的每一位抠出存入数组 int f[N][N];//f[i][j]表示在i个位置上&#xff0c;放置j个1的组合数 int K,B;void init(…