VMProtect是由俄羅斯人PolyTech開發的，是一個利用偽指令虛擬機的保護軟件，也是當前最強大的虛擬機保護軟件之一，它適用于Windows平臺本地編譯的目標程序，支持EXE、DLL、SYS。

免費下載VMProtect  優惠購買VMProtect

經過VMProtect處理的軟件，分析難度將大大增加。越來越多的軟件優先考慮使用VMProtect來保護自己的產品。

VMP保護的導入表會把FF 25 offset (call qword ptr[rip+offset])修改為E8 call。

跟進去可以看到先保存了rdi，后面rdi會用于堆棧平衡以及修正返回地址。

然后返回地址也就是+BE081  int  3那一行的地址被保存到rdi。

rdi被加一之后又填充回返回地址，也就是讓返回地址跳過int 3指向正確的BE082 test eax,  eax那一行。

這幾步相當于解密導入函數地址，從[imagebase+37DF6+14B606] + 3DDC1A68處取出函數地址放入[rsp]中。

我們用模擬器驗證一下。

[imagebase+37DF6+14B606] + 3DDC1A68 確實= fffff800007165c8=RtlGetVersion
uint64_t RtlGetVersion_import = 0;
 uc_mem_read(ctx.m_uc, ctx.m_ImageBase + 0x37DF6 + 0x14B606, &RtlGetVersion_import, 8);
 RtlGetVersion_import += 0x3DDC1A68;
 std::wstring RtlGetVersion_importfrom;
 FakeAPI_t *RtlGetVersion_importapi = NULL;
 if (ctx.FindAPIByAddress(RtlGetVersion_import, RtlGetVersion_importfrom, &RtlGetVersion_importapi))
   *outs << "[ ctx.m_ImageBase + 0x37DF6 + 0x14B606]+0x3DDC1A68 = " << std::hex << RtlGetVersion_import << "name: " << RtlGetVersion_importapi->ProcedureName << "\n";

最后一步retn直接飛向[rsp]也就是剛才計算出的API地址并讓最開始push rdi 減少的rsp恢復。

按照這個思路稍加修改甚至可以實現一鍵脫vmp殼，只要用腳本定位所有api call的地址，修復導入表。

慧都16周年·技術服務月，軟件商城優惠券不限量免費領取，購VMProtect享折上折>>>

掃描關注“慧聚IT”微信公眾號，及時獲取最新動態及最新資訊