tvm分析与还原 | 宜武汇-ag真人国际厅网站

140086efa : call    sub_1400085e8                     ,rsp <-- 17f8  //这个函数被vm

1400085e8 : jmp     sub_1400d2ff4                    

1400d2ff4 : lea     rsp, [rsp-248h]                   ,rsp <-- 15b0  //开辟虚拟机栈空间

1400d2ffc : mov     [rsp 10h], rbp                    //保存进入虚拟机时的寄存器状态

1400d3001 : mov     rbp, rsp                          ,rbp <-- 15b0 

1400d3004 : pushfq                                    ,rsp <-- 15a8 

1400d3005 : pop     [rbp 0h]                            ,rsp <-- 15b0 

1400d3008 : mov     [rbp 78h], r14               

1400d3012 : mov     [rbp 30h], rdx               

1400d3022 : mov     [rbp 50h], r9                

1400d3031 : mov     [rbp 8h], rax                

1400d303f : mov     [rbp 60h], r11               

1400d3043 : jmp     short loc_1400d3054              

1400d305a : mov     [rbp 18h], rbx                   

1400d305e : mov     [rbp 40h], rsp                   

1400d3062 : mov     [rbp 28h], rdi                   

1400d3066 : mov     [rbp 70h], r13                   

1400d306f : mov     [rbp 48h], r8                    

1400d3078 : mov     [rbp 80h], r15                   

1400d3085 : mov     [rbp 58h], r10                   

1400d308f : mov     [rbp 38h], rsi                   

1400d3093 : mov     [rbp 68h], r12                   

1400d3097 : jmp     loc_1400d3145                    

1400d314c : mov     [rbp 20h], rcx                   

1400d3156 : pushfq                                    ,rsp <-- 15a8 

1400d3157 : add     qword ptr [rbp 40h], 248h         #恢复成原来的栈顶

1400d315f : popfq                                     ,rsp <-- 15b0 

1400d3160 : lea     r11, [rbp 90h]                    ,r11 <-- 1640 

1400d3167 : push    qword ptr [rbp 8]                 ,rsp <-- 15a8 

1400d316a : pop     qword ptr [r11]                   ,rsp <-- 15b0 

1400d316d : push    qword ptr [rbp 18h]               ,rsp <-- 15a8 

1400d3170 : pop     qword ptr [r11 8]                 ,rsp <-- 15b0 

1400d3174 : push    qword ptr [rbp 20h]               ,rsp <-- 15a8 

1400d3177 : pop     qword ptr [r11 10h]               ,rsp <-- 15b0 

1400d317b : push    qword ptr [rbp 30h]               ,rsp <-- 15a8 

1400d317e : pop     qword ptr [r11 18h]               ,rsp <-- 15b0 

1400d3182 : push    qword ptr [rbp 40h]               ,rsp <-- 15a8 

1400d3185 : pop     qword ptr [r11 20h]               ,rsp <-- 15b0 

1400d3189 : push    qword ptr [rbp 10h]               ,rsp <-- 15a8 

1400d318c : jmp     loc_1400d30dc                    

1400d30dd : pop     qword ptr [r11 28h]               ,rsp <-- 15b0 

1400d30e1 : push    qword ptr [rbp 38h]               ,rsp <-- 15a8 

1400d30e4 : pop     qword ptr [r11 30h]               ,rsp <-- 15b0 

1400d30e8 : push    qword ptr [rbp 28h]               ,rsp <-- 15a8 

1400d30eb : pop     qword ptr [r11 38h]               ,rsp <-- 15b0 

1400d30ef : push    qword ptr [rbp 48h]               ,rsp <-- 15a8 

1400d30f2 : pop     qword ptr [r11 40h]               ,rsp <-- 15b0 

1400d30f6 : push    qword ptr [rbp 50h]               ,rsp <-- 15a8 

1400d30f9 : pop     qword ptr [r11 48h]               ,rsp <-- 15b0 

1400d30fd : push    qword ptr [rbp 58h]               ,rsp <-- 15a8 

1400d3100 : pop     qword ptr [r11 50h]               ,rsp <-- 15b0 

1400d3104 : push    qword ptr [rbp 60h]               ,rsp <-- 15a8 

1400d3107 : pop     qword ptr [r11 58h]               ,rsp <-- 15b0 

1400d310b : push    qword ptr [rbp 68h]               ,rsp <-- 15a8 

1400d310e : pop     qword ptr [r11 60h]               ,rsp <-- 15b0 

1400d3112 : push    qword ptr [rbp 70h]               ,rsp <-- 15a8 

1400d3115 : pop     qword ptr [r11 68h]               ,rsp <-- 15b0 

1400d3119 : push    qword ptr [rbp 78h]               ,rsp <-- 15a8 

1400d311c : pop     qword ptr [r11 70h]               ,rsp <-- 15b0 

1400d3120 : push    qword ptr [rbp 80h]               ,rsp <-- 15a8 

1400d3126 : pop     qword ptr [r11 78h]               ,rsp <-- 15b0 

1400d312a : push    qword ptr [rbp 0]                 ,rsp <-- 15a8 

1400d312d : jmp     loc_1400d30a8                    

1400d30aa : pop     qword ptr [r11 80h]               ,rsp <-- 15b0 

1400d30b1 : lea     r11, byte_14006024b 1             ,r11 <-- 14006024c 

1400d30b8 : lea     r10, [rbp 88h]                    ,r10 <-- 1638 

1400d30bf : lea     rsp, [rsp-8]                      ,rsp <-- 15a8 

1400d30c4 : mov     [rsp], r10                       

1400d30c8 : lea     rsp, [rsp-8]                      ,rsp <-- 15a0 

1400d30cd : mov     [rsp], r11                       

1400d30d1 : call    sub_1400d5b02                     ,rsp <-- 1598 

1400d5b02 : lea     rsp, [rsp-8]                      ,rsp <-- 1590 

1400d5b07 : mov     [rsp 8 var_8], rbx               

1400d5b0b : lea     rsp, [rsp-8]                      ,rsp <-- 1588 

1400d5b10 : mov     [rsp 10h var_10], rsi            

1400d5b14 : lea     rsp, [rsp-8]                      ,rsp <-- 1580 

1400d5b19 : mov     [rsp 18h var_18], rdi            

1400d5b1d : lea     rsp, [rsp-8]                      ,rsp <-- 1578 

1400d5b22 : mov     [rsp 20h var_20], rbp            

1400d5b26 : lea     rsp, [rsp-8]                      ,rsp <-- 1570 

1400d5b2b : mov     [rsp 28h var_28], r15            

1400d5b2f : sub     rsp, 68h                          ,rsp <-- 1508  ,rf <-- 12 

1400d5b33 : mov     rbp, rsp                          ,rbp <-- 1508 

1400d5b38 : mov     r11, [rbp 98h]                    ,r11 <-- v_rip

1400d5b42 : jmp     loc_1400d9146                    

1400d914f : mov     r10, [rbp 0a0h]                   ,r10 <-- v_reg_p

1400d9156 : jmp     loc_1400d7560                    

1400d756a : call    loc_1400da21f                     ,rsp <-- 1500 

1400da21f : lea     rsp, [rsp 8]                      ,rsp <-- 1508 

1400da224 : lea     r9, loc_1400e47b0                 ,r9 <-- 1400e47b0 

1400da22e : jmp     loc_1400d8689                    

1400d868e : mov     [rbp 0], r9                      

1400d8695 : jmp     loc_1400db455                    

1400db45f : mov     [rbp 8], r11

原文链接:https://bbs.kanxue.com/thread-277370.htm

网络摘文,本文作者:15h,如若转载,请注明出处:https://www.15cov.cn/2023/08/27/tvm分析与还原/

发表评论

邮箱地址不会被公开。 必填项已用*标注

网站地图