VMProtect V1.20的虚拟机伪代码识别插件
VMProtect V1.20的虚拟机伪代码识别插件VMP....碰到了个VMP加壳的,就找了点工具。给大家分享一下,希望用的着。
主要功能是识别虚拟机伪代码跳转表,及伪代码。今天测试了几个,有的可以100%识别。
最开始想用类似IDA的sig的方法,但不成功,190多条指令,只能识别处二、三十条,还有的识别错误,浪费了些时间。
后来只好用笨办法,一条一条的识别。方法是:
1、先按伪代码的条数来分类,如1条,2条,3条,及多条
2、然后按关键指令或关键操作数来分类,如add,imul,,wait等
3、最后按操作数的大小确定是byte?word?Dword.
vmp1.2x伪代码识别插件,测试过1.20和1.22。通常1.20会加载伪代码全集,193条。1.22似乎只加载部分其用的到的伪代码,通常45条左右。
方法:将plw文件放置于IDA pro的plugins目录下,使用IDA装载完文件后,快捷方式Alt-V启动插件分析。
伪代码助记符规则:(是按我的理解进行的简单定义,不一定准确,只是区别记忆)
1、VM_开头,未识别的为VM_OP_nnn,
2、识别的,分操作码和操作数,通常尾缀为B代表字节操作,W代表字操作,双字操作则不加。
3、带标志位操作的追加_F
页:
[1]