*岁末大盘点*
VB P-code -- 虚拟机的艺术
作者:cyclotron
初学crack的时候,总有不少大虾好心地提醒菜鸟们:别碰VB P-code的东东。不可否认,这确实是善意的提醒。VB P-code特殊的运作方式以及由此造成的天然的调试困难,是不少早期cracker难以忘却的恶梦。然而,随着各类专业的VB P-code Debugger和Decompiler层出不穷,VB P-code已经不再像以前那样遥不可及了。退一步来说,即使是使用通用调试器SoftICE或OllyDBG来跟踪VB P-code程序,只要掌握其原理,它也并非是不可战胜的。
VB P-code到底是怎样一种机制?它与普通的可执行程序有何不同?下面由我为大家来揭开VB P-code神秘的面纱……
众所周知,采用VB编写的应用程序有两种编译方式,一种是Native Code方式,另一种就是P-code方式。事实上,VB 4.0以前只采用P-code编译,VB Native Code是在VB 5.0以后发展起来的,其目的是为了在一定程度上改善VB应用程序的运行速度。VB P-code的运行速度较慢,这是由它本身的运行机制所决定的。
P-code,即Pseudo Code(伪代码),这一概念最早出现在Pascal编译器中,它是为了提供跨平台可移植性而产生的,实现这一编译机制的Pascal编译器被称为"Pascal P Compiler"。Sun公司在其推出的Java语言上也成功地实现了这种机制。Java程序的伪编译代码由一系列代表一定意义的字节码(byte code)组成,它们同属于一套特定的指令集,这种字节码不能由不同的CPU直接执行,而是要通过特殊的解释器翻译为CPU可以识别的指令才能执行,这种解释器就是我们常说的"虚拟机"。只要在不同的平台上提供虚拟机,把字节码翻译为对应的CPU指令集,也就实现了所谓的跨平台特性。Microsoft推出的VB P-code,实际上也是一组自定义的指令集,必须通过基于堆栈的虚拟机翻译为80X86上的指令集才能执行,担任虚拟机任务的就是msvbvm50.dll和msvbvm60.dll这两个动态链接库文件。由于在文件执行过程中多出了这一个解释的步骤,自然要影响到其执行的速度。正如我们所看到的,VB P-code并没有实现所谓的跨平台运行特性,这对于Pseudo这个词的起源是不恰当的;另一方面,采用P-code形式编译的VB应用程序的体积要小于采用Native Code形式编译的同样程序(这是由于P-code指令集的每一条指令对应于一组80X86指令所完成的任务),所以VB P-code实际上意味着VB Packed-code(压缩代码),用以强调VB P-code程序较小的代码体积。
作为程序员,他们现在已经拥有了充分的选择依据--速度,还是体积;然而,作为cracker,仅仅知道这些是远远不够的,正如本文的标题所道出的,我们需要了解的,是虚拟机的运作方式--这才是在调试中真正起作用的东西。
为了说明虚拟机的运作方式,我们写个小程序来调试一下,下面是这个小程序的源码:
代码:
Private Sub Command1_Click() X = InputBox("Please input an integer", "Input") If X <> "" Then Y = X + 2 X = Y * 3 Out.Text = X End If End Sub
这个程序只处理Command_Click事件,同时用到了InputBox,便于我们用rtcInputBox函数设断,最后记得用P-code方式编译。
现在拿出我们心爱的调试器OllyDBG加载这个程序,在命令行插件中输入bp rtcInputBox ↙(注意区分大小写),按下F9运行,点击按钮,我们中断在下面的地方:
代码:
6A360CF2 >PUSH EBP ;这里就是rtcInputBox的第一句指令了 6A360CF3 MOV EBP,ESP 6A360CF5 SUB ESP,54 6A360CF8 MOV EAX,DWORD PTR SS:[EBP+1C] 6A360CFB PUSH EBX 6A360CFC PUSH ESI 6A360CFD PUSH EDI 6A360CFE CMP WORD PTR DS:[EAX],0A 6A360D02 MOV EDI,80020004 6A360D07 JNZ MSVBVM60.6A360E6C 6A360D0D CMP DWORD PTR DS:[EAX+8],EDI 6A360D10 JNZ MSVBVM60.6A360E6C 6A360D16 OR DWORD PTR SS:[EBP-8],FFFFFFFF
按下Ctrl+F9返回,当InputBox弹出以后随意输入一个整数,然后继续单步跟踪,直到我们来到下面的代码处:
代码:
6A37D2CD MOVSX EAX,WORD PTR DS:[ESI] 6A37D2D0 PUSH DWORD PTR DS:[EAX+EBP] 6A37D2D3 XOR EAX,EAX 6A37D2D5 MOV AL,BYTE PTR DS:[ESI+2] 6A37D2D8 ADD ESI,3 6A37D2DB JMP DWORD PTR DS:[EAX*4+6A37DA58] ;注意这句 6A37D2E2 MOVSX EAX,WORD PTR DS:[ESI] ;我们来到这里 6A37D2E5 ADD EAX,EBP 6A37D2E7 PUSH EAX 6A37D2E8 XOR EAX,EAX 6A37D2EA MOV AL,BYTE PTR DS:[ESI+2] 6A37D2ED ADD ESI,3 6A37D2F0 JMP DWORD PTR DS:[EAX*4+6A37DA58] ;注意这句 6A37D2F7 MOVSX EAX,WORD PTR DS:[ESI] 6A37D2FA POP EBX 6A37D2FB MOV WORD PTR DS:[EAX+EBP],BX 6A37D2FF XOR EAX,EAX 6A37D301 MOV AL,BYTE PTR DS:[ESI+2] 6A37D304 ADD ESI,3 6A37D307 JMP DWORD PTR DS:[EAX*4+6A37DA58] ;注意这句
你可能已经注意到了,每一段代码都包括了下面这些指令:
代码:
XOR EAX,EAX MOV AL,BYTE PTR DS:[ESI+2] ADD ESI,3 JMP DWORD PTR DS:[EAX*4+6A37DA58]
如果不明白这些指令是干什么的,跟踪时就会觉得老是在原处打转转。事实上,这几条指令正是虚拟机读取P-code伪代码的引擎部分。为了说明这些指令的功能,我们先来看看VB P-code伪代码的格式。
3A 6C FF 03 00
操作码 操作数
这是一句典型的VB P-code指令,其助记符为LitVarStr,表示将一个Variant型的字符串入栈。3A是指令的操作码,0003是操作数,是以某种形式标记的字符串地址,6CFF在虚拟机引擎中没有用到,暂不清楚起什么作用。现在我们可以来解释虚拟机所做的一切了:
代码:
6A37D2E2 MOVSX EAX,WORD PTR DS:[ESI] ;esi指向待解释指令的操作数 6A37D2E5 ADD EAX,EBP ;取得某种形式的字符串指针 6A37D2E7 PUSH EAX ;压栈 6A37D2E8 XOR EAX,EAX ;eax清零 6A37D2EA MOV AL,BYTE PTR DS:[ESI+2] ;取下一条指令的操作码 6A37D2ED ADD ESI,3 ;移至下一条指令的操作数 6A37D2F0 JMP DWORD PTR DS:[EAX*4+6A37DA58] ;根据跳转地址表到下一条指令的解释单元
这里我们看到,虚拟机并没有用简单的条件判断来识别操作码,而是采用了一种很巧妙跳转地址表法,把解释流程直接导向相应的解释单元。6A37DA58是地址跳转表的首地址,eax保存了下一条指令的操作码,由于每一个跳转地址是一个dword,所以用eax乘以4的值加上跳转表的基地址来索引下一条指令的解释单元。当然,由于每一条指令的长度是不同的,所以前面提到的读取P-code伪代码的引擎部分并不完全相同。明白了虚拟机的解释原理,跟踪P-code程序就方便多了,一旦看到读取P-code伪代码的引擎部分,我们就知道虚拟机开始解释下一条指令了。尽管如此,调试P-code程序还是比调试普通的本地机器码编译的可执行程序困难得多,因为在虚拟机的流程下,我们已经无法随时回顾前面执行过的指令了。
下面我们来看看加法在虚拟机中是如何被解释执行的。按F8跟踪代码来到:
代码:
6A37D3B3 ADD EDI,EBP 6A37D3B5 PUSH EDI 6A37D3B6 XOR EAX,EAX 6A37D3B8 MOV AL,BYTE PTR DS:[ESI] 6A37D3BA INC ESI 6A37D3BB JMP DWORD PTR DS:[EAX*4+6A37DA58] ;al=FBh
走到这里时al的值为FB,这是Variant型变量算术运算伪指令的操作码,esi则指向了该操作码后的一个次操作码94,代表加法运算。跟随跳转地址表我们来到:
代码:
6A37D9BA XOR EAX,EAX 6A37D9BC MOV AL,BYTE PTR DS:[ESI] 6A37D9BE INC ESI 6A37D9BF JMP DWORD PTR DS:[EAX*4+6A37DE58] ;al=94h
这里是一个二级跳转表,我们注意到6A37DE58这个值和前面的跳转地址表基址不同了,这说明VB P-code算术运算伪指令采用了二级跳转来解释执行。我们知道一个字节的操作码可以表示的操作指令种类最多为256个,为了解决指令数不够的问题,Microsoft对部分伪指令进行二级跳转解释执行。这次跳转以后,我们来到:
代码:
6A384628 LEA EBX,DWORD PTR DS:[__vbaVarSub] 6A38462E JMP SHORT MSVBVM60.6A384610 6A384630 LEA EBX,DWORD PTR DS:[__vbaVarMul] 6A384636 JMP SHORT MSVBVM60.6A384610 6A384638 LEA EBX,DWORD PTR DS:[__vbaVarDiv] 6A38463E JMP SHORT MSVBVM60.6A384610 6A384640 LEA EBX,DWORD PTR DS:[__vbaVarIdiv] 6A384646 JMP SHORT MSVBVM60.6A384610 6A384648 LEA EBX,DWORD PTR DS:[__vbaVarMod] 6A38464E JMP SHORT MSVBVM60.6A384610 6A384650 LEA EBX,DWORD PTR DS:[__vbaVarAdd] ;我们跳转到这里 6A384656 JMP SHORT MSVBVM60.6A384610 6A384658 LEA EBX,DWORD PTR DS:[__vbaVarAnd] 6A38465E JMP SHORT MSVBVM60.6A384610 6A384660 LEA EBX,DWORD PTR DS:[__vbaVarOr] 6A384666 JMP SHORT MSVBVM60.6A384610 6A384668 LEA EBX,DWORD PTR DS:[__vbaVarXor] 6A38466E JMP SHORT MSVBVM60.6A384610 6A384670 LEA EBX,DWORD PTR DS:[__vbaVarEqv] 6A384676 JMP SHORT MSVBVM60.6A384610 6A384678 LEA EBX,DWORD PTR DS:[__vbaVarImp] 6A38467E JMP SHORT MSVBVM60.6A384610
很明显,Variant变量的算术逻辑运算伪操作都分布在这里,即将调用的函数__vbaVarAdd地址被装入ebx,继续向下看到:
代码:
6A384610 MOVSX EDI,WORD PTR DS:[ESI] ;取加法指令的操作数 6A384613 ADD EDI,EBP 6A384615 PUSH EDI ;操作数入栈 6A384616 CALL EBX ;这里调用了函数__vbaVarAdd执行加法操作 6A384618 PUSH EDI ;运算结果保存在堆栈结构中 6A384619 XOR EAX,EAX 6A38461B MOV AL,BYTE PTR DS:[ESI+2] ;继续取下一条伪指令的操作码 6A38461E ADD ESI,3 ;指向下一条伪指令的操作数 6A384621 JMP DWORD PTR DS:[EAX*4+6A37DA58] ;跳向下一条伪指令的解释单元
经过上面的跟踪,VB P-code虚拟机的解释过程已经很清楚了,其他的相关指令读者可以通过调试自行分析。
现在我们知道SoftICE或者OllyDBG完全可以胜任调试VB P-code程序的任务,然而,在大多数情况下,它们并非是我们最好的选择,根据调试的习惯,我们总是希望调试器能够直接跟踪可执行文件本身的每一句指令,这样我们可以直观地了解程序实现的功能。从这个角度来说,SoftICE或者OllyDBG是调试VB P-code虚拟机的优秀工具,但是它们无法让我们将更多的注意力集中在P-code程序本身的功能上。伴随着这样一种想法,功能强大的VB P-code专用调试器WKTVBDebugger应运而生了。这又是一种怎样的调试器?它究竟给VB P-code程序调试带来了怎样一种变革?敬请关注《VB P-code -- 调试器的革命》。
附件:VB_P-code.rar