使用vmpdump处理未完全保护的VMP样本——以Night Sky勒索软件为例<\/h1>

1. 前言<\/h2>
本文详细讲解如何使用vmpdump工具对仅部分保护的VMP 3.x壳样本进行处理，以Night Sky勒索软件为例。该方法适用于VMP 3.x版本中仅对IAT进行虚拟化保护的样本。<\/p>

2. 准备工作<\/h2>

2.1 工具准备<\/h3>

vmpdump工具<\/li>
IDA Pro反汇编工具<\/li>
调试器（x64dbg等）<\/li>
Joe Sandbox或其他沙箱分析工具<\/li>

Visual Studio（用于生成对比样本）<\/li> <\/ul>

2.2 样本分析<\/h3>

确认样本使用VMP 3.x壳（疑似3.5版本）<\/li>

确认仅对IAT进行了虚拟化保护<\/li> <\/ul>

3. 分析流程<\/h2>

3.1 初步分析<\/h3>

使用查壳工具确认VMP版本<\/li>

通过沙箱分析确定关键API调用点（如MoveFileEx）<\/li> <\/ol>

3.2 动态调试<\/h3>

运行样本到OEP（原始入口点）<\/li>

选择关键API（MoveFileExW）设置硬件断点

硬件断点优于软件断点，不影响壳执行流程<\/li> <\/ul> <\/li>

中断后观察调用栈，识别VMP保护特征

VMP 3.x保护的导入函数特征：

call xxxxx int3<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3.3 识别OEP特征<\/h3>

使用VS编译一个64位Hello World程序作为对比<\/li>
在IDA中观察VS编译器的入口特征：

安全cookie的hash值（恒定不变）<\/li>
__scrt_common_main_seh<\/code>函数特征<\/li>
<\/ul>
<\/li>
<\/ol>
3.4 定位OEP<\/h3>

在中断内存中搜索VS安全cookie特征值

右键内存窗口 → 特征搜索<\/li>
通常只有一处匹配<\/li>
<\/ul>
<\/li>
在安全cookie函数入口设置硬件断点<\/li>
重新运行程序，中断在函数序言<\/li>
通过调用栈跟踪到调用地址<\/li>
<\/ol>
4. 使用vmpdump进行dump<\/h2>
4.1 dump过程<\/h3>
VMPDump.exe 8852 "" -disable-reloc
<\/code><\/pre>
注意事项：<\/p>

进程名不能过长，否则会失败<\/li>
使用-disable-reloc<\/code>参数禁用重定位<\/li>
<\/ul>
4.2 dump后处理<\/h3>


将dump程序载入IDA<\/p>
<\/li>

手动搜索特征修复：<\/p>

搜索安全cookie的hash值<\/li>
定位到.text<\/code>代码节<\/li>
重命名函数为初始化cookie<\/li>
<\/ul>
<\/li>

搜索__scrt_common_main_seh<\/code>函数特征<\/p>

由于无常量，需使用部分字节码作为特征<\/li>
<\/ul>
<\/li>

继续向下定位main函数<\/p>
<\/li>
<\/ol>
5. 手动修复OEP<\/h2>
5.1 修改入口点<\/h3>


对比正常VS编译程序修改入口点代码<\/p>
<\/li>

计算跳转的相对偏移：<\/p>

call指令下一条指令地址 - 安全cookie初始化函数地址<\/code><\/li>
VMP壳代码节在.text<\/code>下方，相对跳转取负值<\/li>
计算结果需加1字节<\/li>
<\/ul>
<\/li>

修改相对跳转值<\/p>
<\/li>
<\/ol>
5.2 修复main_seh<\/h3>

同理修复__scrt_common_main_seh<\/code>函数<\/li>
最后patch程序<\/li>
<\/ol>
6. 验证结果<\/h2>
重新调试样本，确认：<\/p>

脱壳后的main函数可正常分析<\/li>
导入表已修复<\/li>
关键功能可正常跟踪<\/li>
<\/ul>
7. 技术要点总结<\/h2>


VMP 3.x部分保护样本特征：<\/p>

仅IAT虚拟化<\/li>
代码段解密后加载到.text<\/code>节<\/li>
<\/ul>
<\/li>

关键定位技巧：<\/p>

使用VS编译器特征（安全cookie）<\/li>
硬件断点优于软件断点<\/li>
动态分析结合静态特征<\/li>
<\/ul>
<\/li>

修复要点：<\/p>

正确计算跳转偏移<\/li>
注意VMP壳代码节位置<\/li>
逐步验证每个修复步骤<\/li>
<\/ul>
<\/li>
<\/ol>
8. 注意事项<\/h2>

该方法不适用于完全保护的VMP样本<\/li>
不同编译器版本可能有不同特征<\/li>
修复过程需耐心验证每个步骤<\/li>
建议在隔离环境中操作恶意样本<\/li>
<\/ol>
9. 扩展应用<\/h2>
该方法可应用于：<\/p>

其他仅部分保护的VMP样本<\/li>
分析勒索软件、银行木马等恶意软件<\/li>
研究VMP保护机制的弱点<\/li>
<\/ul>
通过本文介绍的方法，安全研究人员可以有效地处理仅部分保护的VMP样本，为后续深入分析奠定基础。<\/p>

使用vmpdump处理未完全保护的VMP样本——以Night Sky勒索软件为例<\/h1>

1. 前言<\/h2> 本文详细讲解如何使用vmpdump工具对仅部分保护的VMP 3.x壳样本进行处理，以Night Sky勒索软件为例。该方法适用于VMP 3.x版本中仅对IAT进行虚拟化保护的样本。<\/p>

2. 准备工作<\/h2>

3. 分析流程<\/h2>

4. 使用vmpdump进行dump<\/h2>

5. 手动修复OEP<\/h2>

1. 前言<\/h2>
本文详细讲解如何使用vmpdump工具对仅部分保护的VMP 3.x壳样本进行处理，以Night Sky勒索软件为例。该方法适用于VMP 3.x版本中仅对IAT进行虚拟化保护的样本。<\/p>