VMP 保护函数的快速逆向分析方法(理论与实践)
VMP 逆向分析的挑战
在上一篇文章中,我们了解了 VMP(Virtual Machine Protection)的基本原理。VMP 将原始的机器指令转换为自定义虚拟机的字节码,由 VM 解释器执行。这意味着被 VMP 保护的函数,在内存中永远不会以原始形式出现,传统的静态分析和内存 Dump 都无法直接获取原始逻辑。
面对 VMP 保护的代码,逆向工程师需要完成两个层面的分析:
- VM 层面:理解 VM 解释器的架构,识别 Handler(字节码处理函数),搞清字节码的调度机制
- 语义层面:将 VM 字节码序列映射回原始的高级操作(加减乘除、条件跳转、函数调用等)
本文将从理论到实践,系统讲解 VMP 逆向分析的快速方法。我们的目标不是追求 100% 的指令级还原,而是快速定位关键逻辑,理解核心算法。
VM 解释器的通用结构
虽然不同的 VMP 实现各不相同,但它们都遵循一个通用的架构模式:
VM 解释器的核心结构:
┌─────────────────────────────┐
│ VM Context │
│ - 虚拟寄存器 vReg[0..N] │
│ - 虚拟栈 vStack │
│ - 程序计数器 vPC │
│ - 标志位 vFlags │
└─────────────────────────────┘
↑
┌─────────────────────────────┐
│ Dispatcher (分发器) │
│ 1. 读取 vPC 指向的操作码 │
│ 2. 解析操作数 │
│ 3. 跳转到对应 Handler │
└─────────────────────────────┘
↓
┌─────────────────────────────┐
│ Handler Table (处理表) │
│ ┌──────┬────────────────┐ │
│ │ 0x01 │ handler_add │ │
│ │ 0x02 │ handler_sub │ │
│ │ 0x03 │ handler_xor │ │
│ │ ... │ ... │ │
│ └──────┴────────────────┘ │
└─────────────────────────────┘分发器(Dispatcher)的实现方式
分发器是 VM 的"大脑",它负责读取操作码并跳转到对应的 Handler。常见的实现方式有:
1. Switch-Case 分发(最简单,但罕见于商业 VMP)
void vm_execute(uint8_t *bytecode) {
while (1) {
uint8_t op = *vPC++;
switch (op) {
case 0x01: handler_add(); break;
case 0x02: handler_sub(); break;
// ...
}
}
}2. 函数指针表分发(常见)
typedef void (*handler_t)(void);
handler_t handler_table[256] = {
handler_nop, handler_add, handler_sub, handler_xor, ...
};
void vm_execute(uint8_t *bytecode) {
while (1) {
uint8_t op = *vPC++;
handler_table[op](); // 通过函数指针表间接调用
}
}3. 间接跳转表分发(最难分析,商业 VMP 常用)
; ARM 汇编中的间接跳转分发
Dispatcher:
LDRB R0, [R_pc], #1 ; 读取操作码,vPC++
LDR R1, =jump_table ; 加载跳转表基址
LDR R2, [R1, R0, LSL #2]; 查表得到 Handler 地址
BX R2 ; 跳转到 Handler快速定位 VMP 保护函数的方法
方法一:从调用链入手
如果一个函数被 VMP 保护,那么它的调用者和被调用者通常是正常的。我们可以从调用者跳入被保护函数的入口点。
正常代码 → CALL vmp_protected_func → 正常代码
↑
VMP 入口点在 IDA 中:
- 找到已知的关键函数(如 JNI_OnLoad、某个校验函数的调用者)
- 观察被调用的目标函数是否异常(函数体极长、大量跳转)
- 如果异常,则很可能被 VMP 保护
方法二:识别 VM 入口特征
VMP 保护函数的入口通常有明显的特征:
; 典型的 VMP 函数入口
vmp_func_entry:
PUSH {R4-R11, LR} ; 保存大量寄存器(VM 上下文)
SUB SP, SP, #0x100 ; 分配 VM 栈空间
LDR R4, =vm_context ; 加载 VM 上下文指针
LDR R5, =bytecode ; 加载字节码地址
STR R5, [R4, #vPC_off] ; 设置初始 vPC
B dispatcher ; 跳转到分发器特征总结:
- 入口处大量
PUSH保存寄存器 - 分配较大的栈空间(用于 VM 栈)
- 加载常量池数据(字节码、上下文)
- 很快进入一个循环结构
方法三:字符串和 API 引用异常
被 VMP 保护的函数不会直接引用字符串或调用系统 API。如果一个函数本应该调用 strcmp、fopen 等函数,但在 IDA 中看不到对应的交叉引用,它很可能被 VMP 保护。
识别 VM 入口和出口
VM 入口
VM 入口是被保护函数的起始点。在入口处,VM 完成初始化工作:
VM 入口的初始化序列:
1. 保存 CPU 上下文(寄存器入栈)
2. 分配 VM 执行环境(栈、寄存器空间)
3. 将传入参数映射到虚拟寄存器
4. 加载字节码地址到 vPC
5. 跳转到 Dispatcher在 IDA 中,你可以通过以下方式定位 VM 入口:
- 查看函数的前几条指令是否是大量的
PUSH+ 内存分配 - 追踪函数参数是如何被处理的(如果参数被写入某个结构体而非直接使用)
VM 出口
VM 出口是 VM 执行结束、将结果返回给调用者的地方。通常对应 return 语句。
VM 出口的处理序列:
1. 将虚拟寄存器中的返回值映射回 CPU 寄存器
2. 释放 VM 执行环境
3. 恢复 CPU 上下文(寄存器出栈)
4. 执行 BX LR 或 POP {PC} 返回VM Handler 的分类分析
Handler 是 VM 的最小执行单元,每个 Handler 对应一种虚拟指令。为了快速逆向,我们需要对 Handler 进行分类。
算术运算 Handler
; Handler for OP_ADD (加法)
handler_add:
LDRB R0, [vPC], #1 ; 读取目的寄存器编号
LDRB R1, [vPC], #1 ; 读取源寄存器1编号
LDRB R2, [vPC], #1 ; 读取源寄存器2编号
LDR R3, [vRegs, R1, LSL #2] ; 加载 vReg[r1]
LDR R4, [vRegs, R2, LSL #2] ; 加载 vReg[r2]
ADD R3, R3, R4 ; 执行加法
STR R3, [vRegs, R0, LSL #2] ; 存储到 vReg[r0]
B dispatcher ; 返回分发器算术 Handler 的特征:
- 读取两个源操作数和一个目的操作数
- 执行一条算术运算(ADD, SUB, MUL, AND, OR, XOR, SHL, SHR 等)
- 结果存回虚拟寄存器
逻辑/比较 Handler
; Handler for OP_CMP (比较)
handler_cmp:
LDRB R0, [vPC], #1 ; 读取操作数1寄存器
LDRB R1, [vPC], #1 ; 读取操作数2寄存器
LDR R3, [vRegs, R0, LSL #2]
LDR R4, [vRegs, R1, LSL #2]
CMP R3, R4 ; 比较
STRPL #1, [vFlags + #ZF] ; 设置标志位
STRMI #0, [vFlags + #ZF]
B dispatcher内存访问 Handler
; Handler for OP_LOAD (从内存加载)
handler_load:
LDRB R0, [vPC], #1 ; 目的虚拟寄存器
LDR R1, [vPC], #2 ; 内存地址(2字节操作数)
LDR R2, [R1] ; 从实际内存读取
STR R2, [vRegs, R0, LSL #2]
B dispatcher
; Handler for OP_STORE (存储到内存)
handler_store:
LDRB R0, [vPC], #1 ; 源虚拟寄存器
LDR R1, [vPC], #2 ; 目标内存地址
LDR R2, [vRegs, R0, LSL #2]
STR R2, [R1] ; 写入实际内存
B dispatcher跳转/分支 Handler
跳转 Handler 是分析中最关键的部分,它们决定了程序的控制流:
; Handler for OP_JZ (为零则跳转)
handler_jz:
LDR R0, [vFlags + #ZF] ; 读取零标志
CMP R0, #1
LDRNE R1, [vPC], #4 ; 条件不满足,读取4字节偏移但不跳
BNE dispatcher
LDR R1, [vPC], #4 ; 条件满足,读取跳转偏移
ADD vPC, vPC, R1 ; 修改 vPC
B dispatcher
; Handler for OP_CALL (函数调用)
handler_call:
LDR R1, [vPC], #4 ; 读取目标地址
; 将当前 vPC 压入虚拟栈
LDR R2, [vStack_top]
STR vPC, [R2], #4
STR R2, [vStack_top]
; 跳转到目标 Handler 序列
BX R1构建 Handler 语义表
Handler 语义表是 VMP 逆向分析的核心产出。它的作用是将每个操作码映射到其语义含义:
Handler 语义表示例:
| 操作码 | Handler 地址 | 语义描述 | 操作数格式 |
|--------|-------------|----------------|------------------------|
| 0x01 | 0x400A12 | ADD | vDst, vSrc1, vSrc2 |
| 0x02 | 0x400B38 | SUB | vDst, vSrc1, vSrc2 |
| 0x03 | 0x400C56 | XOR | vDst, vSrc1, vSrc2 |
| 0x04 | 0x400D71 | MOV | vDst, vSrc |
| 0x05 | 0x400E99 | LOAD_IMM | vDst, imm32 |
| 0x06 | 0x400F1A | LOAD_MEM | vDst, addr32 |
| 0x07 | 0x401044 | STORE_MEM | vSrc, addr32 |
| 0x08 | 0x40116C | CMP | vSrc1, vSrc2 |
| 0x09 | 0x40128E | JZ | offset32 |
| 0x0A | 0x4013B0 | JNZ | offset32 |
| 0x0B | 0x4014D2 | CALL | target_addr32 |
| 0x0C | 0x4015F4 | RET | (无操作数) |
| ... | ... | ... | ... |构建方法
- 定位 Dispatcher:找到 VM 的分发循环
- 提取跳转表:从分发器中提取 Handler 地址表
- 逐一分析 Handler:对每个 Handler 反汇编,理解其语义
- 记录操作数格式:每个 Handler 从 vPC 读取多少字节的操作数
- 归类整理:将相同语义的 Handler 归为一类
从 Handler 还原高级操作
构建好语义表后,就可以将字节码序列还原为类似汇编的操作序列:
字节码序列:
05 00 12 34 56 78 → MOV vReg[0], 0x12345678
05 01 AB CD EF 00 → MOV vReg[1], 0xABCDEF00
01 02 00 01 → ADD vReg[2], vReg[0], vReg[1]
06 02 00 40 00 00 → LOAD vReg[2], [0x400000]
还原为伪代码:
v0 = 0x12345678
v1 = 0xABCDEF00
v2 = v0 + v1
mem[0x400000] = v2进一步,可以结合上下文推断更高级的语义:
如果 v0 = key, v1 = data, v2 = v0 ^ v1:
→ 这是一个 XOR 加密操作快速逆向的实用技巧
在实际分析中,我们往往不需要完全还原 VMP 保护的函数。以下是一些实用的"偷懒"技巧:
技巧一:只关注关键 Handler
大多数 VMP 的 Handler 中,大约 80% 的执行时间花在 20% 的 Handler 上。优先分析以下 Handler:
- 算术运算(ADD, SUB, XOR, AND, OR)
- 内存访问(LOAD, STORE)
- 跳转分支(JZ, JNZ, JMP)
- 函数调用/返回(CALL, RET)
技巧二:利用动态执行追踪
静态分析 VM 字节码极其耗时。更高效的方法是使用动态追踪:
// Frida 脚本追踪 VM 执行
Interceptor.attach(vm_dispatcher_addr, {
onEnter: function(args) {
var opcode = Memory.readU8(args[0]);
console.log("Opcode: 0x" + opcode.toString(16));
}
});通过运行目标函数并收集所有执行的操作码序列,可以快速了解函数的实际执行路径。
技巧三:模式匹配识别算法
很多 VMP 保护的函数其实实现的是标准算法(AES、RC4、MD5、SHA 等)。如果你能识别出算法的模式,就不需要逐条分析字节码:
识别特征:
- 256 字节的 S-box 初始化循环 → 可能是 AES 或 RC4
- 10 轮循环,每轮包含 SubBytes/ShiftRows/MixColumns → AES
- 简单的 KSA + PRGA 结构 → RC4
- 64 轮迭代,每轮有特定的位运算 → SHA-256技巧四:参数和返回值是突破口
虽然函数体被虚拟化了,但函数的参数和返回值是明文的。通过控制输入参数并观察返回值的变化,可以推断函数的功能:
输入: encrypt("hello", "key1") → 输出: 0xAB12CD34
输入: encrypt("hello", "key2") → 输出: 0xEF56GH78
输入: encrypt("world", "key1") → 输出: 0x1A2B3C4D
推断: 这是一个加密函数,输出依赖两个参数技巧五:定位非 VMP 保护的辅助函数
VMP 通常只保护核心函数,辅助函数(如内存操作、字符串处理等)往往是明文的。从辅助函数入手,反向推断 VMP 函数的逻辑,也是一种有效的策略。
总结
VMP 逆向分析的核心在于理解 VM 解释器的架构和 Handler 的语义。通过构建 Handler 语义表,我们可以将不可读的字节码转换为可理解的伪操作序列。在实际分析中,善用动态追踪和模式匹配等技巧,可以在不追求完全还原的情况下,快速理解被保护函数的核心逻辑。在后续文章中,我们将使用 Hyperpwn 工具来自动化这个过程。
本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
