殼主要干了什么？

①初始化殼模板：指令變形、等價替換。例如：

jmp = push + retn 或則 lea + jmp
lods byte ptr ds:[esi] = mov al,[esi] + inc esi 或則 mov al,[esi] + add esi,1

②優化Handle塊代碼，將不使用的直接刪除

ESIResults[X] == 0表示不使用，這種就會優化
ESIResults[X] == 1表示使用

③找出填充虛擬機上下文的兩個Handle塊

1、找出殼模板push 0xFACE0002與mov edi,0xFACE0003

總結：

• 循環遍歷作者設計的Handle塊找到符合條件的，例如：規律if(v227 & 0xFFFFFF00) == 0xFACE0000

  

• 所使用的結構體如下：

  

2、根據pNtHeader_OptionalHeader.Magic篩選ESI_Matching_Array數組

首先我們得到的信息有：

• ESI_Matching_Array每一組是8個字節，一共有0Xcc組，也就是總長度是0x660=8*0xCC，目前已知：
  ESI_Matching_Array[0] == 與Magic有關
  ESI_Matching_Array[1] == ？？
  ESI_Matching_Array[2] == VMOpcode
  ESI_Matching_Array[3] == ？？
  ESI_Matching_Array[4] == ？？
  ESI_Matching_Array[5] == Size
  ESI_Matching_Array[6] == ？？
  ESI_Matching_Array[7] == 未使用，都是0
  
• v184數組保存所有結果0或則1
• 第一個判斷：v16 = _bittest(v15, Type & 0x7F)成立條件。目前只討論win32PE結構，Type都是=1，我們發現*(byte*)(ESI_Matching_Array+0)的值只有6(?0110?)或則4(?0100?)

  

  
  6=0110 bt 1 第一位的值給CF，就是1，不成立繼續執行第二個判斷
  

  

  
  4=0100 bt 1 第一位的值給CF，就是0，成立v17=0，不繼續執行第二個判斷
  

  

  
  

總結：

• v184保存結果的什么時候使用、區別這個有什么意義？1跟0有什么區別？
  1表示使用，0表示未使用（后期優化掉）

  

• ESI_Matching_Array與VmHandle塊對應（我整理了一份，未必全對的只作為參考）

  

3、判斷用戶解析Opcode有沒有需要特殊處理的指令

這些都是一些不常用的指令，如果存在就在ESIResults[X]=1，表示使用

假設找到的話執行Vmp_GetVmHandleIndex函數

v184==ESIResults就是我們前面篩選的，如果有就在指定位置+1，表示使用