VMProtect是一種很可靠的工具，可以保護應用程序代碼免受分析和破解，但只有在應用程序內保護機制正確構建且沒有可能破壞整個保護的嚴重錯誤的情況下，才能實現最好的效果。

VMProtect通過在具有非標準體系結構的虛擬機上執行代碼來保護代碼，這將使分析和破解軟件變得十分困難。除此之外，VMProtect還可以生成和驗證序列號，限制免費升級等等。

下載VMProtect最新試用版

VMProtect正版授權在線訂購享受最低價，僅售801元起！還不趕緊加入你的訂購清單？>>更多詳情可點擊咨詢購買

Tls回調函數（上）

VmCALL

可以看到，VmCALL取棧中DWORD作為基數計算RBX和RSI，我們第一篇分析過，RSI指向字節碼緩沖區，RBX為解密Seed，也就是說每個Chunk都有自己的RSI和RBX。

Chunk1

在繼續分析Chunk之前，可先參考下節Nor Gate說明，其對用到的運算的Nor變換做了詳細說明，下面的分析不在贅述。

等價邏輯：

If (*(BYTE*)(000000014018B3E7 + $HandlerBase) != 0)
{
//未執行
VmCALL 40180B57
}
Else
{
//即Chunk2
VmCALL 40183322
}

Chunk2

等價邏輯：

If (*(BYTE*)($ImageBase + AddressOfEntryPoint) != 0xCC)
{
//即Chunk3
VmCALL 4018BB57
}
Else
{
//雖然調試器設置默認在入口地址處下int3斷點，但是我們的腳本啟動時，會把所有斷點禁用，因此并沒有走Else分支。
VmCALL 4018BC08
}

Chunk3

[Anakin] VmRet

沒有特別需要關注的信息，處理寄存器，函數執行完畢，返回調用處。

If (*(BYTE*)(000000014018B3E7 + $HandlerBase) != 0)
{
//未執行
VmCALL 40180B57
}
Else
{
If (*(BYTE*)($ImageBase + AddressOfEntryPoint) != 0xCC)
{
Return
}
Else
{
//雖然調試器設置默認在入口地址處下int3斷點，但是我們的腳本運行時，會把所有斷點禁用(line 15)，因此并沒有走Else分支。
//PS：  這個分支會在 $HandlerBase + 000000014018B3E8 地址處寫一個字節‘0x01’，然后返回。
//            此處暫略，后文分析反調試時再談。
VmCALL 4018BC08
}
}

Nor Gate

基本單元：或非門（Nor）

取反（~）

[Anakin] VmNOTANDB ;                 ;b = NOTAND(b, b)

取反計算~v實現如下：

Result = Nor(v, v)

與（&）

[Anakin] VmNOTAND                   ;d1 = NOTAND(d1, FFFFF7EA)          => d1 = Nor(~V_10, ~00000815) = V_10 & 00000815

異或（^）

[Anakin] VmPOP V_08                 ;V_08 = NOTAND(d2, d1)              => V_08 = Nor(d1, d2) = V_A8 ^ 246E5573

減法（-）

[Anakin] VmPOPW8 V_60               ;V_60 = b = BYTE:[000000014018B3E7 + $HandlerBase] - 0 

此處不做推導，看幾個實例：

不等（!=）

不等判斷需結合上文的'減法'分析，代碼中V_70為eflag(v1 - v2);

(Nor(Eflags(v1 - v2), 000000BF) >> 6)  == 1。

如果您對該加密/解密軟件感興趣，歡迎加入vmpQQ交流群：740060302