Ollvm去平坦化脱壳

最新推荐文章于 2024-12-23 23:54:52 发布
最新推荐文章于 2024-12-23 23:54:52 发布
阅读量545 收藏 4
点赞数 14
文章标签: 网络安全 c++ python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79776252/article/details/143599923
版权

Ollvm去平坦化脱壳

RoarCTF polyre(参考CRC64)

最近复现RoarCTF的polyre时候,发现了ollvm这个保护器挺有意思的,然后参考了师傅们的blog,提出我自己的看法
首先下载D-810。https://gitlab.com/eshard/d810
把文件夹和.py复制到IDA目录的plugin下即可。(最开始我用的7.5然后移动plugins发现在ida里面没有这个d810这个插件,然后我就更换了一个ida8.3版本,发现挺好用的)

这个也可以用虚拟机跑脚本,不过需要安装一个angr的一个库,具体怎么实现的我也没太研究,就知道在虚拟机里面跑一个脚本就行

先查看main函数地址,之后执行命令

python deflat.py -f attachment --addr 0x400620 //0x400620是main函数的地址

启动ida。这是未进行脱壳的进程
这是经过d810去平坦化之后的源码

v10 = 0;
  memset(s, 0, 0x30uLL);
  memset(s1, 0, sizeof(s1));
  printf("Input:");
  v11 = s;
  __isoc99_scanf("%s", s);
  for ( i = 0; ; ++i )
  {
    v12 = i;
    v13 = i < 64;
    if ( i >= 64 )
      break;
    v14 = s[i];
    v15 = v14;
    if ( v14 == 10 )
    {
      v16 = &s[i];
      *v16 = 0;
      break;
    }
    v17 = i + 1;
  }
  for ( j = 0; ; ++j )
  {
    v18 = j;
    v19 = j < 6;
    if ( j >= 6 )
      break;
    v20 = s;
    v4 = *(_QWORD *)&s[8 * j];
    for ( k = 0; ; ++k )
    {
      v21 = k;
      v22 = k < 64;
      if ( k >= 64 )
        break;
      v23 = v4;
      v24 = v4 < 0;
      if ( v4 < 0 )
      {
        v25 = 2 * v4;
        v26 = 2 * v4;
        v4 = (2 * v4) ^ 0xB0004B7679FA26B3LL;
      }
      else
      {
        v27 = v4;
        v28 = 2 * v4;
        v4 *= 2LL;
      }
      v29 = k;
    }
    v30 = 8 * j;
    v31 = &s1[8 * j];
    *(_QWORD *)v31 = v4;
    v32 = j + 1;
  }
  v33 = memcmp(s1, &unk_402170, 0x30uLL);
  v34 = v33 != 0;
  puts("Correct!");
  return v10;

人工调整后可以复现出加密的代码,如下:

#include <bits/stdc++.h>
using namespace std;
unsigned char in[1007],flag[1007];
int len;
int main() {
	// in flag: len == 48
	memset(in,0,sizeof(in));
	memset(flag,0,sizeof(flag));
	scanf("%s",in),len=3;
	for (int i=0; i<len; i++)
		if (in[i]=='\n') in[i]=0;
	for (int i=0; i<6; i++) {
		cout<<(&in+i*8)<<endl;
		__int64 p = *((__int64 *)&in[i*8]);
		cout<<p<<endl;
		for (int j=0; j<64; j++) {
			//encode x64
			if (p>=0) p*=2; // p<<=1 
			else p=p*2^0xB0004B7679FA26B3LL; //p=p<<1^0xB000...
		}
		*(__int64 *)(&flag[i*8])=p;
	}
	if (memcmp(flag,encode,48)) puts("Wrong!");
	else puts("Correct!");
	return 0;
}

exp:

#include <bits/stdc++.h>
using namespace std;
unsigned char encode[48] = { 0x96, 0x62, 0x53, 0x43, 0x6D, 0xF2, 0x8F, 0xBC,
                    0x16, 0xEE, 0x30, 0x05, 0x78, 0x00, 0x01, 0x52,
                    0xEC, 0x08, 0x5F, 0x93, 0xEA, 0xB5, 0xC0, 0x4D,
                    0x50, 0xF4, 0x53, 0xD8, 0xAF, 0x90, 0x2B, 0x34,
                    0x81, 0x36, 0x2C, 0xAA, 0xBC, 0x0E, 0x25, 0x8B,
                    0xE4, 0x8A, 0xC6, 0xA2, 0x81, 0x9F, 0x75, 0x55
                  };
unsigned char flag[48];
int main() {
	for (int i=0;i<6;i++) {
		__int64 p  = *((__int64 *)&encode[i*8]);
		for (int j=0;j<64;j++) {
		// check the last bit 
			if (p&1) {
				p=((unsigned __int64)p^0xB0004B7679FA26B3LL)/2; // p=(p^0xB000...)>>1
				p|=0x8000000000000000; // avoid - to +
			}
			else p=(unsigned __int64)p/2; // p>>=1; 
		}
		for (int j=0;j<8;j++) printf("%c",(char)p&0xff),p>>=8;
	}
	return 0;
}


c=[0x96, 0x62, 0x53, 0x43, 0x6D, 0xF2, 0x8F, 0xBC, 0x16, 0xEE,
  0x30, 0x05, 0x78, 0x00, 0x01, 0x52, 0xEC, 0x08, 0x5F, 0x93,
  0xEA, 0xB5, 0xC0, 0x4D, 0x50, 0xF4, 0x53, 0xD8, 0xAF, 0x90,
  0x2B, 0x34, 0x81, 0x36, 0x2C, 0xAA, 0xBC, 0x0E, 0x25, 0x8B,
  0xE4, 0x8A, 0xC6, 0xA2, 0x81, 0x9F, 0x75, 0x55, 0xB3, 0x26,
  0xFA, 0x79, 0x76, 0x4B, 0x00, 0xB0]
k=8
t=[]
for i in range(0,len(c),k):
    tmp=0
    for j in range(i,i+k):
        tmp+=c[j]*2**(8*j%(k*8))
    t.append(tmp)
from Crypto.Util.number import *
key=0xB0004B7679FA26B3

def decrypt(data):
    for i in range(64):
        s=data&1
        if s==1:
            data^=key
        data//=2
        if s == 1:
            data |= 0x8000000000000000
    return data
flag=b''
for a in t:
    tmp=decrypt(a)
    flag+=long_to_bytes(tmp)[::-1]
print(flag)
Aln1lam
关注
前言:为什么要学习爬虫和逆向,该如何学习?
数据知道的博客
04-08 4856
学习爬虫和逆向技术是当今数字时代的重要技能,尤其在数据分析、安全研究、自动工具开发等领域有广泛应用。以下是详细的学习理由、路径和方法:
Frida和IDA分析OLLVM混淆APK
小龙在线
01-06 2761
Android实现动态库的加载,一般需要调用android_dlopen_ext函数。函数源码: void* android_dlopen_ext(const char* filename, int flag, const android_dlextinfo* extinfo) { const void* caller_addr = __builtin_return_address(0); return __loader_android_dlopen_ext(filename, flag, exti
IDA F5 增强插件,还我源代码(一)
qq_44005305的博客
01-10 1620
李老板: 奋飞呀,你就这么结束也太水了吧。这种文章我都不好意思转发,严重影响我大佬的人设。奋飞:老板说的有道理,使用开源工具,不读他的源码是对作者的不尊重。我们先来聊聊 IDA Microcode, 他是一种中间语言,从反汇编出来的汇编代码到F5生成漂亮的C代码,中间要经过多次的Microcode转换。举个例子,生米煮成熟饭(说你呢,别想歪了),在萌新看来,就是大米 biu~~ 一下就成米饭了。
OLLVM 脱壳:深入探索与实践
最新发布
m0_57836225的博客
12-23 624
OLLVM 是基于 LLVM 编译器基础设施的一个开源混淆工具,它通过对程序的控制流、函数调用和数据结构等进行混淆,增加代码的复杂性和理解难度,从而保护软件知识产权。其混淆手段主要包括控制流平坦、指令替换和虚假控制流等。这些混淆技术使得应用在被反编译后,其代码逻辑变得难以理解,同时也给脱壳操作带来了更高的难度。
【RE】OLLVM平坦
Daphneohh的博客
07-18 3080
本文主要针对x86架构下Obfuscator-LLVM的控制流平坦
IDA F5 增强插件: I Have a Dream (二)
fenfei331的博客
07-25 1471
一、目标 Rolf Rolles大佬曾经说过,一图胜千言 一堆丑陋的 While 是没有加立白的效果,干净漂亮的 if 是加了立白的效果。 二、步骤 控制流平坦示意图 上图是个漂亮的if else 结构。 先给每个块分配一个label标签 然后增加一个块变量,来指示应该执行哪个块。 每个块跑完之后不直接到自己的后继块,而是到主分发器块,这样漂亮的if else结构就由丑陋的switch语句代替了。 反控制流平坦 先找到主分发器 再找到 块变量 后继块只有一个块的,把块变量删除,然后直接got
第四届“长城杯”信息安全铁人三项赛决赛RE-obfuscating
Todog的博客
05-01 2020
一道混淆题
NKCTF复现----REEZ
2203_75549399的博客
04-14 787
NKCTF的login_system题解复现,ollvm混淆,z3求解
java安卓辅助源码-Android-Reverse-learn:安卓逆向学习
06-04
frida辅助分析ollvm控制流平坦 frida辅助分析ollvm指令替换 frida辅助分析ollvm虚假控制流 frida辅助分析非标准算法 IDA trace辅助分析非标准算法 IDA trace分析被ollvm混淆的非标准算法 02 fart全自动脱壳脱壳...
190505 逆向-DDCTF2019(Reverse)
热门推荐
whklhhhh的博客
05-06 3万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
Pin-in-ctf 学习分析
BadRer的博客
07-20 3442
前言 这次打qctf,做到了一个ollvm,控制流平坦的题,虽然不是很明白原理(但这么叫感觉很6批)。听师傅们说可以用pin解决,于是先学习一下pin在ctf中的应用,为解决olvm铺路。 应用 具体的pin和pintool我就不说了 0x0 NDH2k13-crackme-500 首先看到这个文件700+k,一看就不好分析,nm提示内存分配太多?,IDA打开,提示各种错误,不多我还...
第十二章 软件壳(五)(代码混淆壳)
zlmm741的博客
05-17 1452
文章目录代码混淆壳LLVM 基础编写 PassObfuscator-LLVM指令替换控制流平坦伪造控制流代码混淆壳的脱壳指令替换混淆的还原控制流平坦混淆的还原伪造控制流混淆的还原 代码混淆壳 分为 Java 级别的代码混淆 加密保护型的第一代壳 原生程序的代码混淆 代码混淆的第三代壳 源于 LLVM 编译套件的编译器特性,通过编写 LLVM Pass 对编译原生程序时生成的 LLVM IR 进行操作,可实现类似 Windows 平台 VMProtect 等虚拟机软件壳的加密保护效果
字符串混淆
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-06 242
跟进可以找到混淆的字符串异或加密的字符串可以直接手动异或恢复。
ollvm的使用
骑着蜗牛找马儿
04-18 6985
https://github.com/obfuscator-llvm/obfuscator.githttps://github.com/obfuscator-llvm/obfuscator/tree/llvm-4.0一、下载源码:"-b llvm-4.0",下载llvm-4.0 branch,目前是最新的二、Build(1)mkdir build(2)cd build/(3)cmake -DCMA...
如何保护你的代码 - Ollvm(一)
fenfei331的博客
11-04 915
一、目标 李老板:奋飞呀,最近的so都混淆的很厉害呀,也没有啥通用的反混淆方法。一点都不好玩,之前你说的 D810 也不是很好使。 奋飞:我传你六字真言,打不过就加入。 搞不定反混淆,我们搞搞代码混淆,好处多多。 可以很好的保护自己的代码 搞明白混淆的原理,可以增强反混淆的思路 二、步骤 下载代码先 OLLVM(Obfuscator-LLVM的老家在这里 https://github.com/obfuscator-llvm/obfuscator ,只不过官方仅更新到llvm的4.0。 我们使用大神修改的
利用OLLVM混淆Android Native代码篇一
mergerly的专栏
03-09 9694
Author: GeneBlue 这里将会用两篇文章解释OLLVM混淆Android Native代码的方法和原理。篇一主要聚焦NDK中OLLVM的编译构建和主要混淆模式的使用,并简要解释各混淆模式的效果;篇二主要研究默认混淆模式的实现并尝试编写调试自定义Pass。 0X01 OLLVM简介 OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学安全实验室于2010年
混淆解密_使用IDA trace来还原ollvm混淆的非标准算法
weixin_39976413的博客
01-13 1296
本文为看雪论坛优秀文章看雪论坛作者ID:pass_这是3W班9月的题目。题目使用ollvm混淆算法。通过题目我掌握了IDA trace的使用方法,并灵活使用frida及调试等方式来获得中间状态来完成题目。但是对常见算法不够熟悉,导致恢复了整个base64。这个工作量实际是可以省下的。先拖进IDA看看,不是能简单逆向出来的。先上trace。拿到trace的log后,尝试从输出往前找。本次...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8713
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值