殼主要干了什么？

①初始化殼模板：指令變形、等價(jià)替換。例如：

jmp = push + retn 或則 lea + jmp
lods byte ptr ds:[esi] = mov al,[esi] + inc esi 或則 mov al,[esi] + add esi,1

②優(yōu)化Handle塊代碼，將不使用的直接刪除

ESIResults[X] == 0表示不使用，這種就會(huì)優(yōu)化
ESIResults[X] == 1表示使用

③找出填充虛擬機(jī)上下文的兩個(gè)Handle塊

1、找出殼模板push 0xFACE0002與mov edi,0xFACE0003

總結(jié)：

• 循環(huán)遍歷作者設(shè)計(jì)的Handle塊找到符合條件的，例如：規(guī)律if(v227 & 0xFFFFFF00) == 0xFACE0000

  

• 所使用的結(jié)構(gòu)體如下：

  

2、根據(jù)pNtHeader_OptionalHeader.Magic篩選ESI_Matching_Array數(shù)組

首先我們得到的信息有：

• ESI_Matching_Array每一組是8個(gè)字節(jié)，一共有0Xcc組，也就是總長度是0x660=8*0xCC，目前已知：
  ESI_Matching_Array[0] == 與Magic有關(guān)
  ESI_Matching_Array[1] == ？？
  ESI_Matching_Array[2] == VMOpcode
  ESI_Matching_Array[3] == ？？
  ESI_Matching_Array[4] == ？？
  ESI_Matching_Array[5] == Size
  ESI_Matching_Array[6] == ？？
  ESI_Matching_Array[7] == 未使用，都是0
  
• v184數(shù)組保存所有結(jié)果0或則1
• 第一個(gè)判斷：v16 = _bittest(v15, Type & 0x7F)成立條件。目前只討論win32PE結(jié)構(gòu)，Type都是=1，我們發(fā)現(xiàn)*(byte*)(ESI_Matching_Array+0)的值只有6(?0110?)或則4(?0100?)

  

  
  6=0110 bt 1 第一位的值給CF，就是1，不成立繼續(xù)執(zhí)行第二個(gè)判斷
  

  

  
  4=0100 bt 1 第一位的值給CF，就是0，成立v17=0，不繼續(xù)執(zhí)行第二個(gè)判斷
  

  

  
  

總結(jié)：

• v184保存結(jié)果的什么時(shí)候使用、區(qū)別這個(gè)有什么意義？1跟0有什么區(qū)別？
  1表示使用，0表示未使用（后期優(yōu)化掉）

  

• ESI_Matching_Array與VmHandle塊對應(yīng)（我整理了一份，未必全對的只作為參考）

  

3、判斷用戶解析Opcode有沒有需要特殊處理的指令

這些都是一些不常用的指令，如果存在就在ESIResults[X]=1，表示使用

假設(shè)找到的話執(zhí)行Vmp_GetVmHandleIndex函數(shù)

v184==ESIResults就是我們前面篩選的，如果有就在指定位置+1，表示使用