XxDisasm-Vmprotect VM分析还原插件

Sound

反编译器是一个以可执行文件作为输入，反编译出高等级源代码的程序。它是编译器的反向过程，编译器把高级源代码编译成可执行文件。反编译器通常不能完美的重现源代码，也不能很好的处理混淆代码。至少，反汇编器是计算机软件逆向工程中非常重要的工具。

        “反编译器”通常的解释为：一个可以将可执行文件转换成高级语言源代码的程序，当重新编译后，组建出的可执行程序的行为和原始的可执行程序一样。对比，反汇编器把可执行文件转换成汇编语言，而汇编器把汇编语言编译成可执行程序。

        反编译过程就是使用的反编译器的过程，从反编译器的字面意思可以看出。它可以用在复原遗失的源代码，在计算机安全，协同工作，错误纠正方面也是很有用的。反编译过程的关键在于反编译出的代码信息和分析报告。字节码格式被用在许多的虚拟机中（例如Java虚拟机和.NET Framework Common Language Runtime）通常包含了广泛的元数据和高级语言规则，使得反编译过程成为可行的。调试数据的出现使反编译出原始变量，结构体，甚至行号成为可能。机器语言如果没有元数据和调试数据，就会使反编译变的非常困难。

        一些编译器和编译器组件可以生成混淆代码（这样生成的代码会使反编译变得更加困难）。这样会给逆向带来难度。

我们的工作
自从汇编级代码混淆和代码虚拟化的出现，给软件分析带来了很大的困难，我们的工作就是使这类代码的分析变得简单。
我们的产品
现在，我们提供了一款可以分析一类汇编级虚拟化代码的组件。为了使用更加方便，我们将它接入调试器中。
xx_vm_release
vmp虚拟代码分析还原插件，可以自动化的分析由vmp保护的虚拟代码，提供了包含丰富信息的日志文件，通过对日志伪代码的分析，我们几乎可以还原出原始指令。从而达到分析目的。目前我们已经开发出OllyDbg适用的插件，后续我们也会对接其他主流调试器。


original code

VMP has already protected








xxdisasm是一款功能强大的反汇编引擎库，详细的解码了单条指令，包含丰富的指令信息，几乎可以精确的描述指令的语义以及操作项的语义。
支持32位，64位指令解析        包含丰富的指令接口，接口简洁，无复杂的数据结构。
Download:   http://crack.vc/sound/
Demo基于released修改：
1.released旧版功能,使用没有影响
2.添加-每次使用出现唯美的Nag提示框,使用没有影响
3.添加-必须在VMStart处才可以分析VM代码,使用有点影响
4.支持版本: Vmprotect 3.x.x-3.2.0
目前Demo版，and xor jcc指令还原到原代码，需分析合并简化的伪代码
PS: 指令的简化功能+VM流程handle识别 +handle操作结果显示等功能正在添加中。。。。

shaoerbuyi

可以可以,很强!!

Sound

484 发表于 2018-9-23 01:12
@Sound 为什么插件放进去OD插件目录里面 打开OD插件选项并没有VM插件

反汇编窗口右键显示插件是没有添加这个功能的，
可以在ollydbg的插件选项里选择插件。
另外请确保插件dll放置目录是否正常。

holiness

感谢楼主分享，支持一下！

苏晓宇c

回复卡看了需要

雨辰94

感谢分享

浮夸的

来看看貌似很强大

感冒的猪baby

谢谢分享。。。

相约一生

VM插件出来了，先看看再说。

Pressend

这个东西好啊

woainipojie

谢谢分享学习