【RE】2 OLLVM混淆

最新推荐文章于 2024-05-20 18:45:51 发布
最新推荐文章于 2024-05-20 18:45:51 发布
阅读量911 收藏 7
点赞数 3
分类专栏: CTF 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CherestSan/article/details/117672557
版权

原理

OLLVM提供三种混淆机制:

  1. 控制流平坦化(control flow flattening)
  2. 虚假控制流程(instruction substitution)
  3. 指令替换(bogus control flow)

1 控制流平坦化

详细内容参考文章

基本思想是让所有的基本块都有共同的前驱块,而该前驱块进行基本块的分发,分发用switch语句,依赖于switch变量进行分发。先为每个基本块进行值编号,每个基本块就是一个case块,如果基本块有后继块,就替换每个基本块的后继块,新的后继块更新switch变量为后继块的值,然后跳转到switch开始分发处,初始switch变量为入口entry块的值。例如下图是正常的执行流程
在这里插入图片描述
经过控制流平坦化后的执行流程就如下图

在这里插入图片描述对应ida的cfg会显示为这种形式
在这里插入图片描述反编译代码会显示为众多while循环在这里插入图片描述

#include <stdlib.h>
int main(int argc, char** argv) {
  int a = atoi(argv[1]);
  int b = 0;
  while(1) {
    switch(b) {
      case 0:
        if(a == 0)
          b = 1;
        else
          b = 2;
        break;
      case 1:
        return 1;
      case 2:
        return 10;
      default:
        break;
    }
  }
  return 0;
}

llvm-obfuscator
使用控制流平坦化将代码逻辑顺序切断,仅通过对于单一代码段的唯一前趋和唯一后继形成逻辑顺序,提高逆向分析成本

2 虚假控制流程

通过在当前代码块之前添加一个判断代码块来改变cfg,通过永真或永假判断后使得直接跳转到原代码块,并将整个代码内容被随机生成的垃圾指令填满,增加逆向成本
在这里插入图片描述图中常量恒为零,恒为假

指令替换

使用复杂的指令代替简单的二元运算(如加减法,或,异或)这种混淆比较简单,可以通过简单的优化消除混淆的影响,而且目前仅支持整数上的运算
e.g.

加法
	 · a = b - (-c)

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = sub i32 0, %1
%3 = sub nsw i32 %0, %2

	· a = -(-b + (-c))

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = sub i32 0, %0
%3 = sub i32 0, %1
%4 = add i32 %2, %3
%5 = sub nsw i32 0, %4

	· r = rand (); a = b + r; a = a + c; a = a - r

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = add i32 %0, 1107414009
%3 = add i32 %2, %1
%4 = sub nsw i32 %3, 1107414009

	· r = rand (); a = b - r; a = a + b; a = a + r

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = sub i32 %0, 1108523271
%3 = add i32 %2, %1
%4 = add nsw i32 %3, 1108523271

Subtraction

    · a = b + (-c)

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = sub i32 0, %1
%3 = add nsw i32 %0, %2

    · r = rand (); a = b + r; a = a - c; a = a - r

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = add i32 %0, 1571022666
%3 = sub i32 %2, %1
%4 = sub nsw i32 %3, 1571022666

	·  r = rand (); a = b - r; a = a - c; a = a + r

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = sub i32 %0, 1057193181
%3 = sub i32 %2, %1
%4 = add nsw i32 %3, 1057193181

逻辑与
    · a = b & c => a = (b ^ ~c) & b

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = xor i32 %1, -1
%3 = xor i32 %0, %2
%4 = and i32 %3, %0

逻辑或
    · a = b | c => a = (b & c) | (b ^ c)

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = and i32 %0, %1
%3 = xor i32 %0, %1
%4 = or i32 %2, %3

异或
    · a = a ^ b => a = (~a & b) | (a & ~b)

%0 = load i32* %a, align 4
%1 = load i32* %b, align 4
%2 = xor i32 %0, -1
%3 = and i32 %1, %2
%4 = xor i32 %1, -1
%5 = and i32 %0, %4
%6 = or i32 %3, %5

应用

正向

github项目
官方Wiki安装使用介绍很全面

$ git clone -b llvm-4.0 https://github.com/obfuscator-llvm/obfuscator.git
$ mkdir build
$ cd build
$ cmake -DCMAKE_BUILD_TYPE=Release ../obfuscator/
$ make -j7

-fla 控制流平坦化(control flow flattening pass)
-sub 指令替换(instruction substitution)
-bcf 虚假控制流程(bogus control flow)

// 通过参数调用参数实现添加混淆 
e.g.$ path_to_the/build/bin/clang test.c -o test -mllvm -sub
// 可以重复调用参数添加多种混淆
e.g.$ path_to_the/build/bin/clang test -o test -mllvm -sub -mllvm -fla

逆向

github项目

项目依赖angr环境,安装时需要创建虚拟环境,原因是angr库可能对其依赖有所影响,可能对其他项目造成影响。

angr安装

若发生module 'keystone' has no attribute 'KS_ARCH_X86'报错
使用命令sudo apt-get uninstall keystone解决
z3库发生类似错误也可这样解决,原因可能是本机安装的keystone与angr依赖有冲突

使用方法

**Bogus_control_flow**
(angr-dev) <path>/deflat/bogus_control_flow$ python3 debogus.py -f samples/bin
**Flat_control_flow**
(angr-dev) <path>/deflat/flat_control_flow$ python3 deflat.py -f samples/bin

生成文件保存为file_recoverd
项目脚本使用前,需将脚本文件中的sys扩展路径写为am_graph.py文件(在项目根目录)的路径
在这里插入图片描述

Cherest_San
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
混淆技术研究-OLLVM混淆-控制流平坦化(FLA)
Tasfa的博客
09-10 733
控制流平坦化通过将程序中的条件分支语句转化为等价的平铺控制流来实现。通常,这包括将原始的分支语句(如if语句、switch语句)中的每个分支提取出来,并将它们放置在一系列连续的基本块中,然后使用一个状态变量或标志来选择要执行的基本块。这样,原本嵌套的条件分支结构就被展开成了一个扁平的基本块序列。
Android SO文件保护OLLVM混淆加固——混淆篇(二)
10-03
Android SO文件保护OLLVM混淆加固——混淆
OLLVM混淆环境搭建详细教程
会飞的丑小鸭的博客
08-20 8867
一 简介 LLVM:一个编译器,用来编译so和可执行文件等 OLLVM:在LLVM的基础上去混淆so   二 OLLVM混淆环境搭建 1.环境配置 虚拟机:VMware 系统:Ubuntu-12.04.5-64位(这里也测试了另一个linux系统ubuntu-17.10.1-64位 编译不出来,ollvm缺少clang) OLLVM版本:obfuscator-llvm-3.4 n...
ANDROID OLLVM 混淆配置
最新发布
hsw
05-20 402
其实是存在的,为了解决只好打开。当我打开对应的文件夹,发现。这时就可以进行打包测试了,编译过程中我的报了错误。,然后再编译就好了。
ollvm混淆实战
uiop_uiop_uiop的博客
05-26 1869
下载之后里面是一个payload.bin,使用payload-dumperX64.exe对这个文件解密,用7zip打开解压出来的system.img,找到需要的这10个文件,放到lib和libs两个文件夹中。文中需要添加5个system的lib,和5个lib64,因为文中的代码说了androidapi=26,所以从下面谷歌官网下载android8.0的镜像。然后在unidbg-android中添加自定义类。参考上面的博客进行操作。首先配置unidbg框架。成功记录所有的jni调用。
【转载】基于LLVM Pass实现控制流平坦化
ronnie88597的博客
03-01 1087
基于LLVM Pass实现控制流平坦化 文章目录基于LLVM Pass实现控制流平坦化0x00. 什么是LLVM和LLVM Pass0x01. 首先写一个能跑起来的LLVM Pass0x02. 控制流平坦化的基本思想和实现思路0x03. 基于LLVM Pass实现控制流平坦化0x04. 混淆效果测试 转载:https://mp.weixin.qq.com/s/FD5YRurcLGh_VlV9GlWB8w 提到代码混淆时,我首先想到的是著名的代码混淆工具OLLVMOLLVM(Obfuscator-LLV
我的LLVM学习笔记——OLLVM混淆研究之BCF篇
suningning的专栏
11-29 3884
因为要做代码保护,所以抽时间研究了下OLLVM中的三种保护方案:BCF(Bogus Control Flow,中文名虚假控制流)、FLA(Control Flow Flattening,中文名控制流平坦化)、SUB(Instructions Substitution,中文名指令替换),本文是BCF介绍篇。 1,查看BCF的头文件,暴露给外界的两个函数如下: // Namespace name...
ollvm对ndk进行混淆的资源包
03-12
2. **安装OLLVM**:下载并解压提供的资源包,其中包括OLLVM的编译工具链。按照官方文档编译OLLVM,确保其正确集成到你的系统路径中。 3. **修改构建脚本**:在Android项目的`build.gradle`或`CMakeLists.txt`文件中...
mac平台编译好的ollvm混淆,只需下载解压到 NDK 目录就可以直接使用
05-09
mac平台编译好的ollvm混淆,只需下载解压到 /Users/username/Library/Android/sdk/ndk/21.1.6352462/toolchains/llvm/prebuilt/darwin-x86_64/ 目录即可然后覆盖即可 然后添加如下配置即可开启混淆: ``` default...
windows平台下的OLLVM4.0,支持so文件中字符串混淆
05-21
Windows平台编译生成的OLLVM文件clang.exe,clang++.exe等,集成到NDK工具中,用于Android JNI 中C,C++代码以及字符串的混淆 (支持的ndk版本有android-ndk-r14b-windows-x86_64,android-ndk-r16b-windows-x86_64...
ollvm混淆混淆和定制修改.doc
09-28
最近各大杀毒公司陆续都出了混淆,网上关于ollvm的资料比较少,于是就有了这篇文章,这篇文章介绍,android的native代码,也就是so和linux的c/c++代码均可使用的混淆工具ollvm的编译,混淆,反混淆,和反反混淆
最右ollvm字符串混淆还原
ST0new的博客
03-22 2095
某apk so层ollvm字符串混淆 本次逆向分析用到的工具:adb、ida、010Editor、ddms。 这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。 先检测一下设备是否正常 adb devices 然后解压apk文件,提取出lib目录下的libnet_crypto.so文件 armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64 so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的 接下来,分
module xxx has no attribute
qq_45104603的博客
10-22 9846
有一个不错的解决module xxx has no attribute的思路
解决 python 报错module ‘xxx’ has no attribute ‘xxx’
CreatureNoWords的博客
02-04 5149
解决 python 报错module ‘xxx’ has no attribute ‘xxx’ import urllib.request 这一句报错 AttributeError: module ‘urllib’ has no attribute ‘request’ 具体如下: C:\Users\84910\py>py http.py Traceback (most recent ca...
buu-[RoarCTF2019]polyre(控制流平坦化,虚假控制流程)
weixin_52369224的博客
01-16 2874
这题一开始拿到人看麻了(不会),写篇wp记录新题型 这么一大大大串的函数图,是经过OLLVM 的控制流平坦化混肴. 控制流平坦化(Control Flow Flattening)的基本思想主要是通过一个主分发器来控制程序基本块的执行流程,例如下图是正常的执行流程: 经过控制流平坦化后的执行流程就如下图: 混淆代码块之间的逻辑,将其之前的逻辑混肴成switch嵌套循环,增加分析难度。 下面我们需要使用 angr符号执行去除控制流平坦化 环境ubuntu20.4defalt.py脚本..
【网络安全】ollvm混淆学习
HBohan的博客
09-23 2843
ollvm原理 Ollvm大致可分为 bcf(虚假块), fla(控制流展开), sub(指令膨胀), Split(基本块分割) bcf: 克隆一个真实块,并随机替换其中的一些指令,然后用一个永远为真的条件建立一个分支。克隆后的块是不会被执行的。 Fla: 将所有的真实块使用一个switch case结构包裹起来,每个真实块执行完毕后都会重新赋值switch var,对于有分支的块会使用select指令,并跳转到switch起始代码块(分发器)上,根据switch var来执行下一个真实块。 Sub: 指令
猿人学第二题,手撕OB混淆给你看(step06-控制流平坦化)
小玉的小本本
03-16 721
前情回顾:猿人学第二题,手撕OB混淆给你看(Step1-开篇)猿人学第二题,手撕OB混淆给你看(step2-字符串数字回填)猿人学第二题,手撕OB混淆给你看(step3-函数调用还原)猿人学第二题,手撕OB混淆给你看(step4-对象调用还原)猿人学第二题,手撕OB混淆给你看(step5-分支流程判断)控制流平坦化这一章会使用上一章生成的 02_ob_if_reload.json文件最终生成一份02_ob_sort_reload.js文件和一份 02_ob_sort_reload.jso
AST还原技术专题:浅谈去控制流平坦化的思路及方法
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
03-29 2846
一. while-switch结构的控制流这类平坦化代码很简单,常见于经过obfuscator在线工具混淆后的控制流平坦化。一般代码段不会很长,常见的 switch-case 基本都在10...
使用ollvm混淆你的源码
04-04
OLLVM是一种基于LLVM的混淆器,可以对源代码进行混淆,使其难以逆向和分析。下面是使用OLLVM混淆源码的步骤: 1. 安装OLLVM 首先需要安装OLLVM,可以从官方网站(https://github.com/obfuscator-llvm/obfuscator)下载源代码,然后编译安装。 2. 编写源代码 编写需要混淆的源代码,例如: ``` #include <stdio.h> int main() { int a = 10; int b = 20; int c = a + b; printf("c = %d\n", c); return 0; } ``` 3. 使用OLLVM混淆源代码 使用OLLVM混淆源代码可以通过以下命令: ``` clang -Xclang -load -Xclang /path/to/obfuscator.so -mllvm -obfuscator -o obfuscated.out source.c ``` 其中,`/path/to/obfuscator.so`是OLLVM的插件,`source.c`是需要混淆的源代码文件,`obfuscated.out`是混淆后的输出文件。 4. 查看混淆后的源代码 使用反编译工具查看混淆后的源代码,可以看到代码已经被混淆,变得难以理解和分析,例如: ``` #include <stdio.h> int main() { int _0_hM5 = 10; int _1_hM5 = 20; int _2_hM5 = _0_hM5 + _1_hM5; printf("c = %d\n", _2_hM5); return 0; } ``` 可以看到变量名和表达式已经被混淆,使得代码变得更加复杂和难以理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值