广州睿东网络科技有限公司是国内最专业的香港空间,云主机,香港VPS,香港服务器租用提供商,专注为国内站长提供高速且稳定的香港空间,云主机,香港VPS,香港服务器租用,欢迎您的选购!
当前位置:首页 -> 香港主机 -> 独立IP空间

【原创】PHP加密中的“VMProtect”——魔方加密反编译过程

云服务器 34℃ 1884评论

这篇文章中的东西我研究了大概两天,但愿点进来的你能在十几分钟之内看懂。
(看不懂就算了,真的没什么大用,我就是发出来装逼的)


另一篇 PHP 解密分析:【原创】某PHP加密文件调试解密过程

本文部分内容在上一篇文章中提到过,这里只做简要说明。

样本

文件样本由上一篇分析文章的 70# 层 提供。

魔方加密网站:https://www.mfenc.com/start.html

魔方加密文档:https://www.mfenc.com/document/start.md

下文称这个编译方法为 mfenc

静静地看着魔方加密吹牛逼

魔方加密的编译系统有这些特点:

  1. 自主开发

  2. 有完整的中间表示设计(中间指令和抽象语法树两种形式)

  3. 有完整的中间表示到目标 PHP 代码的映射规则

  4. 有与目标代码配套的虚拟机设计,包括虚拟机结构、与 PHP 环境的交互方法

魔方加密的程序不对外公开,随时保持更新,跟进最新的学术研究成果,在根本上杜绝了潜在攻击者的试探、分析等行为,保证了核心算法的安全,也保证了加密代码的安全。

说明

本文涉及大量汇编语言及反编译,需要有一定基础。而且学这个东西真的还不一定有用。

开始破解

格式化代码

我用的是 nikic/php-parser 的 AST 分析器进行的代码格式化,因为我发现这个库对乱码变量名的支持很好。

<?phpuse PhpParserError;use PhpParserParserFactory;use PhpParserPrettyPrinter;

ini_set(xdebug.max_nesting_level, 10000);require vendor/autoload.php;$input_file = $argv[1];$output_file = $argv[1] . .formatted.php;$code = file_get_contents($input_file);// 解析代码$parser = (new ParserFactory)->create(ParserFactory::PREFER_PHP7);try {
    $ast = $parser->parse($code);
} catch (Error $error) {
    echo "Parse error: {$error->getMessage()}
";
    return;
}// 格式化代码$prettyPrinter = new PrettyPrinterStandard;$prettyCode = $prettyPrinter->prettyPrintFile($ast);

file_put_contents($output_file, $prettyCode);

分析代码

代码最前面是一堆拥有同样形式的函数,都是 7 个输入变量,都是以引用的方式传递参数。

function func1(&$arg0, &$eip, &$arg2, &$arg3, &$arg4, &$arg5, &$arg6);

后面是一个函数,包含一个静态变量,这个静态变量等于一个超长的字符串,一个由一堆字符串使用 . 点符号连接起来的超长的字符串。

function func0($arg0, $eip, $arg2 = null)

最后面是一句调用函数。

func0(array(), 0)

然后进行单步调试,跟踪一会就回发现,这特么不是一个虚拟机的形式吗!以下为了方便描述,我就使用 x86 指令集的某些描述方式了(只研究过一些 x86 指令集)。

初步分析结果

经过一段时间的调试,我们大概弄明白了最后一个函数类似于 call 指令,其他的每个函数的 7 个参数分别为:数据内存、指令指针、栈、栈指针、基址指针、报错等级栈、报错等级栈指针。

将变量名替换成有意义的名称之后的代码如下

function func1($memory, $eip, $stack, $esp, $ebp, $error_level_stack, $error_level_stack_pointer) {
    // 这里都没有 return 都是通过引用参数返回的}function func_call(array $args, $eip, $ret = null){
    static $memory;
    if (strlen($memory) == 0) {
        $memory = ......;
    }
    $stack = array();
    $error_level_stack = array(); // 用于保存 error_reporting level    $esp = $error_level_stack_pointer = 0;
    $stack[++$esp] = $ret;
    foreach ($args as $item) {
        $stack[++$esp] = $item;
    }
    $stack[++$esp] = count($args);
    $stack[++$esp] = -1;
    $stack[++$esp] = 0;
    $ebp = $esp;
    while ($eip >= 0) {
        $func = func . ($memory[$eip] ^  $memory[$eip + 1]) . ($memory[$eip] ^  $memory[$eip + 4]) . ($memory[$eip] ^  $memory[$eip + 5]);
        $eip += ord($memory[$eip] ^ $memory[$eip + 3]);
        $func($memory, $eip, $stack, $esp, $ebp, $error_level_stack, $error_level_stack_pointer);
    }
    if ($eip == -1) {
        return $stack[$esp];
    }
}

func_call(array(), 0);

修复局部变量名

经过观察发现,这个加密算法的函数中只有局部变量,所以我们可以轻松地进行变量名替换,而不会影响函数执行结果。

我这里依旧使用 PHP-Parser 先进行语法分析,然后再替换变量名,最后格式化输出。

在解析代码与格式化输出之间添加如下代码

use PhpParserNode;use PhpParserNodeTraverser;use PhpParserNodeVisitorAbstract;// 变量名替换class VariableRenameNodeVisitor extends NodeVisitorAbstract{
    protected $paramsMap = [];

    public function __construct(&$params_map)    {
        $this->paramsMap = $params_map;
    }

    public function generateNewVariableName()    {
        $values = array_values($this->paramsMap);
        $i = 0;
        while (in_array(v . $i, $values)) {
            ++$i;
        }
        return v . $i;
    }

    public function leaveNode(Node $node)    {
        if ($node instanceof NodeExprVariable) {
            if (!isset($this->paramsMap[$node->name])) {
                $this->paramsMap[$node->name] = $this->generateNewVariableName();
            }
            $node->name = $this->paramsMap[$node->name];
        }
    }
}class FunctionParamsRenameNodeVisitor extends NodeVisitorAbstract{
    public function leaveNode(Node $node)    {
        if ($node instanceof NodeStmtFunction_) {
            $params_map = [];
            foreach ($node->params as $i => &$param) {
                $params_map[$param->name] = arg . $i;
                $param->name = $params_map[$param->name];
            }
            $visitor = new VariableRenameNodeVisitor($params_map);
            $traverser = new NodeTraverser;
            $traverser->addVisitor($visitor);
            $node->stmts = $traverser->traverse($node->stmts);
        }
    }
}$traverser = new NodeTraverser;$traverser->addVisitor(new FunctionParamsRenameNodeVisitor);$ast = $traverser->traverse($ast);

修复变量名之后之后我们继续调试。

调试的过程中,可以看出这套指令集中,数据与指令是混在一起的,并不是 .text 与 .data 分开的,或者说使用了大量的立即数。


在所有的函数调用、evalinclude 或 require 处下断点,单步调试看看到底是什么逻辑。

然后单步跟踪一会就回发现每个函数的作用,所有的函数都是通过栈来进行数据交换的。

有的函数负责申请栈空间,有的负责清除栈空间,有的函数负责跳转 jejnz 之类的,有的负责函数调用,总之前面的 65 个函数可以称之为 mfenc 的指令集。

我们要破解这个文件必须把他的指令集中每一条指令都分析一下,然后对他的 VM 中间函数进行 Hook 操作,提取出关键 Opcode,然后根据 Opcode 对应的操作还原出原始代码,这个过程和 IDA 的还原代码很像,这个过程靠的是脑子和经验,但是最费的还是体力。

我以前没学过虚拟机的原理,破解这个的过程真的学到了很多。

提取原始 Opcode

先把 $memory 变量输出出来,免得原来的文件看起来费劲。

在 $memory 赋值语句之后插入 file_put_contents

$memory = ......;
file_put_contents(1.php.opcode.bin, $memory);

执行一次,之后改成

$memory = file_get_contents(1.php.opcode.bin);

函数重命名

为了消除程序乱码,我想了一个方法,就是把所有的函数名称改成 func1 之类的名字,然后动态地把乱码函数名代{过}{滤}理到我们替换之后的函数。

这样做之后有几个好处,我可以随意地修改程序,而不用担心编码错误。因为有代{过}{滤}理这一层,我可以随意 Hook 其中的步骤。

我又重新修改了我的 format.php,不过试了一下感觉效果并不是特别好,所以这个暂时就先放弃(不过之后肯定还是要把 Opcode 翻译成汇编语言的)。

function func51(&$memory, &$eip, &$stack, &$esp, &$ebp, &$error_level_stack, &$error_level_stack_pointer){
    eval("function " . $stack[$esp] . (){return func65(func_get_args(), . (int) ($memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++] . $memory[$eip++]) . );});
}function func65(array $args, $eip, $ret = null){
    static $memory, $func_name_map;
    if (strlen($memory) == 0) {
        $memory = file_get_contents(1.php.opcode.bin);
        $func_name_map = include 2.php.formatted.php.func_name_map.php;
    }
    $stack = [];
    $error_level_stack = [];
    $esp = $error_level_stack_pointer = 0;
    $stack[++$esp] = $ret;
    foreach ($args as $item) {
        $stack[++$esp] = $item;
    }
    $stack[++$esp] = count($args);
    $stack[++$esp] = -1;
    $stack[++$esp] = 0;
    $ebp = $esp;
    while ($eip >= 0) {
        $func = base64_decode(zb+8) . ($memory[$eip] ^ $memory[$eip + 1]) . ($memory[$eip] ^ $memory[$eip + 2]) . ($memory[$eip] ^ $memory[$eip + 4]) . ($memory[$eip] ^ $memory[$eip + 5]);
        $eip += ord($memory[$eip] ^ $memory[$eip + 3]);
        if (isset($func_name_map[$func])) {
            $func = $func_name_map[$func];
        }
        $func($memory, $eip, $stack, $esp, $ebp, $error_level_stack, $error_level_stack_pointer);
    }
    if ($eip == -1) {
        return $stack[$esp];
    }
    exit;
}include 2.php.formatted.php.func_map.php;

继续调试

上面的图中就是我在分析每一个函数的作用,把他们写成汇编语言,顺便分析函数调用的规则,方便我们写 Decompiler (是反编译器,而不是 Disassembler 反汇编器)

举个例子

00000060 + 006 >>> 00000066 - push (null)00000066 + 006 >>> 00000089 - mov [esp], (string((int(2)[eip])[eip+2]     GetUrlToDomain, 1400000089 + 006 >>> 00000107 - def [esp], (int(12))[eip]     GetUrlToDomain, 7667     ; function GetUrlToDomain(){$args=func_get_args();return call($args,7667);}00000107 + 006 >>> 00000113 - sub esp, 1     5

这个汇编语言是我自己随便发明的语法,int(12) 表面后面的 [eip] 的整数值占 12 位数(十进制)。

最前面的数值是十进制,表示指令开始位置 +006 表示指令占 6 字节(这 6 字节包含指令调用的函数名和指令参数相对位置),根据指令循环的代码,+0 是异或加密的秘钥 +1, +2, +4, +5 是指令调用的函数名(以后就称之为指令名吧),+3 是本条指令的操作数位置或下一条指令的位置

在这个程序中,压栈会导致栈指针增大,出栈使用 sub 而不是 add,同理为局部变量分配空间是 add esp, ... 而不是使用 sub

我们应该把上面的代码反编译成什么呢?

function GetUrlToDomain(...$args) {
    // 内部的代码的指令从偏移 7667 处开始}

再举个例子

00000848 + 006 >>> 00000854 - add esp, (int(2)) [eip]     4, 16

这里把 esp 增加了 16,这意味着我们当前运行的这个代码块中就要有 16 个局部变量。

但是,我们得想办法用代码来实现上述功能。

反编译分析

我们要开始规规矩矩地分析了。

首先我们手工分析一下,然后根据我们手工分析的方法,用代码实现反编译。

片段 1

00000856 + 006 >>> 00000862 - push (null)00000862 + 006 >>> 00000878 - mov [esp], (string((int(1)[eip])[eip+2]     is_admin, 800000878 + 006 >>> 00000884 - call (0) [esp]     is_admin00000884 + 006 >>> 00000890 - not [esp]     true00000890 + 006 >>> 00000908 - jtrue [esp], ptr +(int(12))[eip]     false, 599700000908 + 006 >>> 00000914 - sub esp, 1     21

第一句是压栈,这个 mfenc 没有 x86 那种直接压入变量的指令,只能先压入一个 null,然后再向当前栈顶写入内容。

这是接下来的一段,第二句可以反编译成

$stack[$esp] = is_admin;

其实,更准确的说法应该是 $s1 = is_admin;,用 s 代表 symbol 就是符号的意思,这个符号肯定要被后文用到。

第三句是

$stack[$esp] = $stack[$esp]();

这时我们就要查找前面对寄存器写入的语句了,反编译成

$stack[$esp] = is_admin();

然后下一句是 not,而且在同一层栈中操作的,就是反编译成

$stack[$esp] = !is_admin();

jtrue 其实是我为了方便的,应该写成 jnz 才对,反编译应该就是

if (!is_admin()) {
    // 正常继续    // 这里如果还有一个 jmp 就是标准的 if-else}// 5997 字节的指令后

最后一句 恢复栈平衡是一定要有的,由于这套指令集没有符号位,所以必须依赖栈作为判断依据,判断后无论是否跳转,肯定都要移动一下栈指针,把刚才判断的那个数值移到栈外。

片段 2

00000914 + 006 >>> 00000920 - push (null)00000920 + 006 >>> 00000927 - link [esp], [ebp+(int(1))[eip]]     21, 5, NULL     ; ebp=4 [eip]=100000927 + 006 >>> 00000933 - push (null)00000933 + 006 >>> 00000946 - mov [esp], (string((int(1)[eip])[eip+2]     Grace, 500000946 + 006 >>> 00000952 - mov [esp-1], [esp]     Grace00000952 + 006 >>> 00000958 - sub esp, 1     2200000958 + 006 >>> 00000964 - unlink [esp], [esp]     Grace00000964 + 006 >>> 00000970 - sub esp, 1     21

这里的 link 指令表示令 esp 执向 ebp+(int(1))[eip] 的引用,这里看 [eip] 的值,[eip]=1 那么后面那一整个操作数就相当于第 2 个局部变量 $v0。所以这段代码可以反编译成

$stack[$esp] =& $v0;

或者说

$v0 =& $stack[$esp];

然后这里就是提取一个字符串到栈中

$stack[$esp] = Grace;

然后这里有一个,赋值语句,要注意这里面包含被引用的变量,所以意思不一样。

$v0 = Grace;

上面代码有一个典型的结构,就是 push + link + push + 读取内容 + mov + sub + unlink + sub,这一套结构的用途就是给一个局部变量赋值。

片段 3

00000970 + 006 >>> 00000976 - push (null)00000976 + 006 >>> 00000983 - link [esp], [ebp+(int(1))[eip]]     21, 6, NULL     ; ebp=4 [eip]=200000983 + 006 >>> 00000989 - push (null)00000989 + 006 >>> 00001023 - mov [esp], (string((int(2)[eip])[eip+2]     http://yun.api.suxing.me/, 2500001023 + 006 >>> 00001029 - mov [esp-1], [esp]     http://yun.api.suxing.me/00001029 + 006 >>> 00001035 - sub esp, 1     2200001035 + 006 >>> 00001041 - unlink [esp], [esp]     http://yun.api.suxing.me/00001041 + 006 >>> 00001047 - sub esp, 1     2100001047 + 006 >>> 00001053 - push (null)00001053 + 006 >>> 00001060 - link [esp], [ebp+(int(1))[eip]]     21, 7, NULL     ; ebp=4 [eip]=300001060 + 006 >>> 00001066 - push (null)00001066 + 006 >>> 00001096 - mov [esp], (string((int(2)[eip])[eip+2]     http://www.suxing.me/, 2100001096 + 006 >>> 00001102 - mov [esp-1], [esp]     http://www.suxing.me/00001102 + 006 >>> 00001108 - sub esp, 1     2200001108 + 006 >>> 00001114 - unlink [esp], [esp]     http://www.suxing.me/00001114 + 006 >>> 00001120 - sub esp, 1     21

熟练了吗?

$v1 = http://yun.api.suxing.me/;$v2 = http://www.suxing.me/;

片段 4

00001120 + 006 >>> 00001126 - push (null)00001126 + 006 >>> 00001150 - mov [esp], (string((int(2)[eip])[eip+2]     function_exists, 1500001150 + 006 >>> 00001156 - push (null)00001156 + 006 >>> 00001173 - mov [esp], (string((int(1)[eip])[eip+2]     curl_init, 900001173 + 006 >>> 00001179 - call (1) [esp-1], [esp]     function_exists, curl_init00001179 + 006 >>> 00001185 - sub esp, 1     2200001185 + 006 >>> 00001191 - not [esp]     true00001191 + 006 >>> 00001197 - not [esp]     false00001197 + 006 >>> 00001215 - jtrue [esp], ptr +(int(12))[eip]     true, 12600001341 + 006 >>> 00001347 - sub esp, 1     21
if (function_exists(curl_init) != false) {
   // 正常执行}// 126 字节后

注意,这里有个很奇怪的东西,就是连续两次 not 指令,我分析的原因是 if (... != false) 的编译结果,我们可以认为是花指令,把它直接简化为 if (...)

call 指令是用栈中最深的做函数名,函数名上方的都做参数,返回值直接把函数名覆盖掉。call 后面要把栈多余的参数都移除。

jtrue 之后一定会有一个出栈的操作。

现在我们已经发现了函数调用和 if 语句的结构了,可以想想怎么反编译了。

自动化反编译

如果遇到 jtrue 则要新建一个 if 指令,if 指令有 3 部分 condstmtselse,其中 cond 由前面的指令提供,stmts 由跳转后的指令决定,else 内容由紧随其后的指令决定。

因为 stmts 是在 if 之后解析的,所以我们知道按照 if 来解析,但是我们再解析 cond 的时候,并不知道这个内容是被 if 使用的,所以也要像运行时一样,使用一个栈来存储未完成的表达式片段。

比如遇到读取 function_exists 时,我们就要进行下列内容(使用 php-parser

++$decompile_stack_pointer;$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeScalarString_(function_exists);

同理,

++$decompile_stack_pointer;$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeScalarString_(curl_init);

然后就是 call 指令了,

$decompile_stack[$decompile_stack_pointer - 1] = new PhpParserNodeExprFuncCall(
    new PhpParserNodeName($decompile_stack[$decompile_stack_pointer - 1]->value),
    [
        new PhpParserNodeArg($decompile_stack[$decompile_stack_pointer]),
    ]
);
--$decompile_stack_pointer;

两次 not 指令

$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeExprBooleanNot($decompile_stack[$decompile_stack_pointer]);$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeExprBooleanNot($decompile_stack[$decompile_stack_pointer]);

if 指令

$decompile_stack[$decompile_stack_pointer] = new PhpParserNodeStmtIf_($decompile_stack[$decompile_stack_pointer]);

由于我们不知道这个 if 指令到底走哪条路,我们就要开始 dfs 搜索了,按照两条路各走一遍,分别添加到 stmts 块和 else 块。

不过,想一想,这里会不会有什么问题?

如果这个跳转不是 if 而是 while 呢?跳转之后执行到某处又会跳转回来呢?

就算确定了就是是 if,我们又怎么知道 stmts 块和 else 块会合的位置呢?

想想 IDA Pro,我们是不是又代码片段的说法,我们通过 jmp 和 jtrue 语句把代码分成片段,jtrue 一定是 stmts 段的开始,jmp 是 stmts 段的结束。jtrue 的目标地址是 else 段的开始,jmp 的目标地址是 else 段的结束。

因为 php 中没有 goto 语句,所以我们可以大胆地使用上面的猜想。

比如下面这个标准的 if 嵌套

if ($cond1) {
    if ($cond2) {
        // stmt1    } else {
        // stmt2    }
} else {
    if ($cond3) {
        // stmt3    } else {
        // stmt4    }
}
jtrue $cond1 label1
    jtrue $cond3 label2
        // stmt4        jmp label3
    label2:
        // stmt3    label3:
label1:
    jtrue $cond2 label4
        // stmt2        jmp label5
    label4:
        // stmt1    label5:

如果不存在花指令的话,按上述分析应该很容易解析得到 if 语句

部分成果

功能代码已略去,仅保留验证部分

<?phpif (!is_admin()) {
} else {
    $v0 = Grace;
    $v1 = http://yun.api.suxing.me/;
    $v2 = http://www.suxing.me/;
    if (!!function_exists(curl_init)) {
    } else {
        wp_die(主机不支持curl,请联系主机服务商。);
    }
    if (!defined(WP_HOME)) {
    } else {
        if (!is_ssl()) {
            $v3 = str_replace(http://, , defined(WP_HOME) ? constant(WP_HOME) : WP_HOME);
        } else {
            $v3 = str_replace(https://, , defined(WP_HOME) ? constant(WP_HOME) : WP_HOME);
        }
    }
    if (!is_ssl()) {
        $v3 = str_replace(http://, , home_url());
    } else {
        $v3 = str_replace(https://, , home_url());
    }
    $v4 = explode(/, $v3);
    $v5 = $v4[0];
    $v6 = GetUrlToDomain($v5, $v1);
    if (!isset($_GET[do])) {
    } else {
        if (!!!($_GET[do] == activeapi)) {
        } else {
            $v7 = {"copyright":"200"};
            $v8 = json_decode($v7, (bool) 1);
            update_option(_nice_ . $v0 . _ . $v6, $v8);
        }
        if (!isset($_GET[do])) {
        } else {
            if (!!!($_GET[do] == delelteapi)) {
            } else {
                update_option(_nice_ . $v0 . _ . $v6, );
            }
            $v9 = get_option(_nice_ . $v0 . _ . $v6);
            if (!$v9) {
                $v10 = 400;
            } else {
                $v10 = (int) $v9[copyright];
            }
            if ($v10 == 400) {
            } else {
                if (!$v9) {
                } else {
                    if (!(bool) (!!!($v10 == 200))) {
                    } else {
                        $v11 = mee_curl_get_contents($v1 . ?domain= . $v6 . &theme= . $v0);
                        $v12 = json_decode($v11, (bool) 1);
                        update_option(_nice_ . $v0 . _ . $v6, $v12);
                        $v13 = (int) $v12[copyright];
                        $v13;
                        if ($v13 == 200) {
                        }
                    }
                }
                wp_die(您未获得 . $v0 . 主题的授权,请联系苏醒:<a href="https://www.suxing.me/i?a=qq">获取授权</a>, 授权提示);
            }
        }
        $v14 = get_option(_order_ . $v0 . _ . $v6);
        if (!$v14) {
            $v15 = 400;
        } else {
            $v15 = (int) $v14[status];
        }
        if ($v15 == 400) {
        } else {
            if (!$v14) {
            } else {
                if (!(bool) (!!!($v15 == 200))) {
                } else {
                    $v11 = mee_curl_get_contents($v2 . ?domain= . $v6 . &theme= . $v0);
                    $v12 = json_decode($v11, (bool) 1);
                    update_option(_order_ . $v0 . _ . $v6, $v12);
                    $v13 = (int) $v12[status];
                    $v13;
                    if ($v13 == 200) {
                    }
                }
                wp_die(您未获得 . $v0 . 主题的服务授权,请联系苏醒:<a href="https://www.suxing.me/i?a=qq">续费服务</a>, 服务到期提示);
            }
        }
    }
}

可以看到许多“编译”的产物,比如连续三个“逻辑非”,比如说只有 else 没有 stmts 块。

破解这个东西之后,我真的觉得 IDA 实在太牛逼了,想做到反编译必须得已知大量的编译前后的对应方法。

总结

说实话,真的挺恶心,我需要把他的虚拟机的每一个 opcode 都看一遍,然后翻译成 php-parser 的 AST 构造代码。

这个虚拟机有 65 个 opcode,我看了两天时间,相当于把基本的自动反编译器的原理弄懂些了,写了一个基本的反编译器。

我真的没学过编译原理什么的,感觉研究完这个东西收获挺大的,有兴趣的同学也可以尝试一下反编译,还是有很多独特的技巧的,比如 dfs 搜索代码,或者如何找到代码会合的路径。

完全可以使用这个网站来加密 php,加密效果应该说是不错的,我给 90 分。不过这个加密的性能损失应该不小,凭感觉能在500%以上的性能损失,而且看样子好像没有关于 class 的 opcode,只能针对面向过程的 php 文件。

附录

反编译器还没完全写完,目前只能手动一段一段地输出代码,还不能直接全文反编译。

这里有另一个样本可以供大家研究

上个帖子的 92# 层

看样子同样是虚拟机加密方式

最后再说一句,你不应该把这个当成练习破解,而应该将其看做学习反编译原理。


--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号:吾爱破解论坛

或搜微信号:pojie_52


投诉
喜欢 (1884)

评论

帐  号: 密码: (新用户注册)
验 证 码:
表  情:
内  容: