【RE】去OLLVM的平坦化

已于 2024-07-18 16:56:31 修改
阅读量2.9k 收藏 63
点赞数 60
分类专栏: RE知识点整理 文章标签: c++ 网络安全 安全
于 2024-07-18 09:47:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Daphneohh/article/details/140511897
版权

目录

OLLVM

控制流平坦化

平坦化程序特征

去平坦化方法

法一:D810去平坦化插件使用方法

法二:使用基于angr的脚本deflat.py去除控制流平坦化

例题--[SUCTF2019]hardcpp​编辑

法一:D810插件去混淆

法二:deflat.py去OLLVM平坦化

本文主要针对x86架构下Obfuscator-LLVM的控制流平坦化

OLLVM

llvm是一个底层虚拟机,OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个项目,这个项目的目标是提供一个LLVM编译套件的开源分支,能够通过代码混淆和防篡改,增加对逆向工程的难度,提供更高的软件安全性。目前,OLLVM已经支持LLVM-4.0.1版本;所使用的编译器是clang。

llvm保护的大概方法是:程序主要使用一个主分发器来控制程序基本块的执行流程进而模糊每个模块之间的联系。

控制流平坦化

控制流平坦化(control flow flattening)的基本思想主要是通过一个主分发器来控制程序基本块的执行流程,例如下图是正常的执行流程

添加控制流平坦化

build/bin/clang check_passwd.c -o check_passwd_flat -mllvm -fla

经过控制流平坦化后的执行流程就如下图

这样可以模糊基本块之间的前后关系,增加程序分析的难度,同时这个流程也很像VM的执行流程

平坦化程序特征

  1. 函数的开始地址为序言的地址
  2. 序言的后继为主分发器
  3. 后继为主分发器的块为预处理器
  4. 后继为预处理器的块为真实块
  5. 无后继的块为retn块
  6. 剩下的为无用块

去平坦化方法

法一:D810去平坦化插件使用方法

D-810是一个基于IDA Microcode实现的可拓展的ida去混淆插件,尤其是在CTF中碰到控制流平坦化时可以使用默认的脚本F5一键去平坦化。

1)安装

GitHub - zhkl0228/d810: D-810 is an IDA Pro plugin which can be used to deobfuscate code at decompilation time by modifying IDA Pro microcode.

把文件夹和.py复制到IDA目录的plugin下即可

(另外建议安装Z3以便能够使用 D-810 的几个功能

pip install z3-solver

2)使用

启动IDA

在Edit->plugins-D-810 或 快捷键CTRL+shift+D 启动D810

在Current file loaded中可以选择要载入的去混淆规则,如去平坦化

1:选中你需要的反混淆规则,我是反ollvm所以选ollvm的

2:start  点击后右边会变成绿色loaded

3:回到需要反混淆的函数,F5大法好

(此处Decompiling需要等一会

同理,点击stop关闭去混淆

(如果安装完出现这种问题

参考

ida插件-d810安装和使用 - 0P1N

https://github.com/igogo-x86/HexRaysPyTools/issues/48

重新安装sip.pyd即可

法二:使用基于angr的脚本deflat.py去除控制流平坦化

安装

1) 首先安装angr库

Windows + R 输入cmd

pip install angr

2) 脚本github地址deflat: use angr to deobfuscation

把am_graph.py 与deflat.py放在同一目录下

所在目录下打开cmd命令行输入

 python + deflat.py + 文件名 + 起始地址(基本就是main函数的地址)
 #python deflat.py hardCpp 0x4007E0

关键之处在于寻找程序的 address

注意到“函数的开始地址为序言的地址”,因此我们需要在序言中找函数起始位置

期间可能会出现大量类似警告:

没事,只要最后是这样就好:

得到一个已成功去平坦化的recovered新文件,用这个文件继续分析

参考

反混淆器:D810的安装和使用 #ollvm去平坦化 #D-810 - 『逆向资源区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

OLLVM 与去平坦化 & [RoarCTF2019] polyre 详细WP - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

利用符号执行去除控制流平坦化 - 博客 - 腾讯安全应急响应中心

例题--[SUCTF2019]hardcpp

用ollvm混淆过的c++代码

开头给了一个类似哈希的东西,先不管。

ollvm中应该开了运算混淆,流程平坦化和一些虚假分支,调试一下发现主要流程就在那一堆lamda那里。

法一:D810插件去混淆

在Edit->plugins-D-810 或 快捷键CTRL+shift+D 启动D810

在Current file loaded中可以选择要载入的去混淆规则,我们要去ollvm平坦化所以选第二个

回到需要反混淆的函数,按F5,此处Decompiling需要等一会

这样就已经可读了

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v3; // al
  char v4; // al
  char v5; // al
  char v6; // al
  char v8[8]; // [rsp+A0h] [rbp-90h] BYREF
  char v9[8]; // [rsp+A8h] [rbp-88h] BYREF
  char v10[8]; // [rsp+B0h] [rbp-80h] BYREF
  char v11[8]; // [rsp+B8h] [rbp-78h] BYREF
  char v12[8]; // [rsp+C0h] [rbp-70h] BYREF
  char v13[7]; // [rsp+C8h] [rbp-68h] BYREF
  char v14; // [rsp+CFh] [rbp-61h]
  int i; // [rsp+D0h] [rbp-60h]
  int v16; // [rsp+D4h] [rbp-5Ch]
  int v17; // [rsp+D8h] [rbp-58h]
  int v18; // [rsp+DCh] [rbp-54h]
  char s; // [rsp+E0h] [rbp-50h] BYREF
  char v20[23]; // [rsp+E1h] [rbp-4Fh] BYREF
  char v21[8]; // [rsp+F8h] [rbp-38h] BYREF
  char v22[8]; // [rsp+100h] [rbp-30h] BYREF
  char v23[8]; // [rsp+108h] [rbp-28h] BYREF
  char v24[4]; // [rsp+110h] [rbp-20h] BYREF
  int v25; // [rsp+114h] [rbp-1Ch]
  const char **v26; // [rsp+118h] [rbp-18h]
  int v27; // [rsp+120h] [rbp-10h]
  int v28; // [rsp+124h] [rbp-Ch]
  int v29; // [rsp+128h] [rbp-8h]
  bool v30; // [rsp+12Eh] [rbp-2h]

  v28 = 0;
  v27 = argc;
  v26 = argv;
  v25 = time(0LL);
  puts("func(?)=\\"01abfc750a0c942167651c40d088531d\\"?");
  s = getchar();
  fgets(v20, 21, stdin);
  v18 = time(0LL);
  v17 = v18 - v25;
  v29 = v18 - v25;
  if ( v18 - v25 > 0 )
  {
    puts("Let the silent second hand take the place of my doubt...");
    exit(0);
  }
  v16 = strlen(&s);
  v30 = v16 != 21;
  if ( v16 != 21 )
    exit(0);
  for ( i = 1; i < 21; ++i )
  {
    v14 = v17 ^ v20[i - 1];
    v13[0] = main::$_0::operator()(v23, (unsigned int)v14);
    v12[0] = main::$_1::operator()(v21, (unsigned int)*(&s + v17 + i - 1));
    v3 = main::$_1::operator() const(char)::{lambda(int)#1}::operator()(v12, 7LL);
    v14 = main::$_0::operator() const(char)::{lambda(char)#1}::operator()(v13, (unsigned int)v3);
    v11[0] = main::$_2::operator()(v24, (unsigned int)v14);
    v10[0] = main::$_2::operator()(v24, (unsigned int)*(&s + v17 + i - 1));
    v4 = main::$_2::operator() const(char)::{lambda(char)#1}::operator()(v10, 18LL);
    v9[0] = main::$_3::operator()(v22, (unsigned int)v4);
    v5 = main::$_3::operator() const(char)::{lambda(char)#1}::operator()(v9, 3LL);
    v8[0] = main::$_0::operator()(v23, (unsigned int)v5);
    v6 = main::$_0::operator() const(char)::{lambda(char)#1}::operator()(v8, 2LL);
    v14 = main::$_2::operator() const(char)::{lambda(char)#1}::operator()(v11, (unsigned int)v6);
    if ( enc[i - 1] != v14 )
      exit(0);
  }
  puts("You win");
  return 0;
}
法二:deflat.pyOLLVM平坦化

deflat.py同一目录下打开cmd命令行输入

python deflat.py hardCpp 0x4007E0

期间可能会出现大量类似警告:

没事,只要最后是这样就好:

得到

此时控制流

还有部分去平坦化操作

首先排除上面这两个循环有用

看到这一坨函数,其实就是c++里面的奇奇怪怪的东西(好像叫lambda表达式),来看看他们到底是干嘛的,

在对各函数分析的过程中发现在0x401310、0x4014E0和0x4016C0依然有平坦化,

类似这样

再跑脚本去一下

这样重复三次

python deflat.py hardCpp_recovered 0x401310

python deflat.py hardCpp_recovered_recovered 0x4016C0

python deflat.py hardCpp_recovered_recovered_recovered 0x4014E0

静态查看,发现其实是对输入的每一个字符执行了一系列lambda函数,输入的长度为21个字符

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v3; // al
  char v4; // al
  char v5; // al
  char v6; // al
  char v8; // al
  char v9; // al
  char v10; // al
  char v11; // al
  char v12[8]; // [rsp+A0h] [rbp-90h] BYREF
  char v13[8]; // [rsp+A8h] [rbp-88h] BYREF
  char v14[8]; // [rsp+B0h] [rbp-80h] BYREF
  char v15[8]; // [rsp+B8h] [rbp-78h] BYREF
  char v16[8]; // [rsp+C0h] [rbp-70h] BYREF
  char v17[7]; // [rsp+C8h] [rbp-68h] BYREF
  char v18; // [rsp+CFh] [rbp-61h]
  int v19; // [rsp+D0h] [rbp-60h]
  int v20; // [rsp+D4h] [rbp-5Ch]
  int v21; // [rsp+D8h] [rbp-58h]
  int v22; // [rsp+DCh] [rbp-54h]
  char s; // [rsp+E0h] [rbp-50h] BYREF
  char v24[23]; // [rsp+E1h] [rbp-4Fh] BYREF
  char v25[8]; // [rsp+F8h] [rbp-38h] BYREF
  char v26[8]; // [rsp+100h] [rbp-30h] BYREF
  char v27[8]; // [rsp+108h] [rbp-28h] BYREF
  char v28[4]; // [rsp+110h] [rbp-20h] BYREF
  int v29; // [rsp+114h] [rbp-1Ch]
  const char **v30; // [rsp+118h] [rbp-18h]
  int v31; // [rsp+120h] [rbp-10h]
  int v32; // [rsp+124h] [rbp-Ch]
  int v33; // [rsp+128h] [rbp-8h]
  bool v34; // [rsp+12Eh] [rbp-2h]

  v32 = 0;
  v31 = argc;
  v30 = argv;
  v29 = time(0LL);
  puts("func(?)=\\"01abfc750a0c942167651c40d088531d\\"?");
  s = getchar();
  fgets(v24, 21, stdin);
  v22 = time(0LL);
  v21 = v22 - v29;
  v33 = v22 - v29;
  if ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
    goto LABEL_13;
  while ( 1 )
  {
    v20 = strlen(&s);
    v34 = v20 != 21;
    if ( y < 10 || ((((_BYTE)x - 1) * (_BYTE)x) & 1) == 0 )
      break;
LABEL_13:
    v20 = strlen(&s);
  }
  while ( 1 )
  {
    v19 = 1;
    if ( y < 10 || ((((_BYTE)x - 1) * (_BYTE)x) & 1) == 0 )
      break;
    v19 = 1;
  }
  while ( v19 < 21 )
  {
    if ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
    {
      v18 = v21 ^ v24[v19 - 1];
      v17[0] = main::$_0::operator()(v27, (unsigned int)v18);
      v16[0] = main::$_1::operator()(v25, (unsigned int)*(&s + v21 + v19 - 1));
      v8 = main::$_1::operator() const(char)::{lambda(int)#1}::operator()(v16, 7LL);
      v18 = main::$_0::operator() const(char)::{lambda(char)#1}::operator()(v17, (unsigned int)v8);
      v15[0] = main::$_2::operator()(v28, (unsigned int)v18);
      v14[0] = main::$_2::operator()(v28, (unsigned int)*(&s + v21 + v19 - 1));
      v9 = main::$_2::operator() const(char)::{lambda(char)#1}::operator()(v14, 18LL);
      v13[0] = main::$_3::operator()(v26, (unsigned int)v9);
      v10 = main::$_3::operator() const(char)::{lambda(char)#1}::operator()(v13, 3LL);
      v12[0] = main::$_0::operator()(v27, (unsigned int)v10);
      v11 = main::$_0::operator() const(char)::{lambda(char)#1}::operator()(v12, 2LL);
      v18 = main::$_2::operator() const(char)::{lambda(char)#1}::operator()(v15, (unsigned int)v11);
    }
    do
    {
      v18 = v21 ^ v24[v19 - 1];
      v17[0] = main::$_0::operator()(v27, (unsigned int)v18);
      v16[0] = main::$_1::operator()(v25, (unsigned int)*(&s + v21 + v19 - 1));
      v3 = main::$_1::operator() const(char)::{lambda(int)#1}::operator()(v16, 7LL);
      v18 = main::$_0::operator() const(char)::{lambda(char)#1}::operator()(v17, (unsigned int)v3);
      v15[0] = main::$_2::operator()(v28, (unsigned int)v18);
      v14[0] = main::$_2::operator()(v28, (unsigned int)*(&s + v21 + v19 - 1));
      v4 = main::$_2::operator() const(char)::{lambda(char)#1}::operator()(v14, 18LL);
      v13[0] = main::$_3::operator()(v26, (unsigned int)v4);
      v5 = main::$_3::operator() const(char)::{lambda(char)#1}::operator()(v13, 3LL);
      v12[0] = main::$_0::operator()(v27, (unsigned int)v5);
      v6 = main::$_0::operator() const(char)::{lambda(char)#1}::operator()(v12, 2LL);
      v18 = main::$_2::operator() const(char)::{lambda(char)#1}::operator()(v15, (unsigned int)v6);
    }
    while ( enc[v19 - 1] != v18 );
    while ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
      ;
    ++v19;
  }
  if ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
    goto LABEL_16;
  while ( 1 )
  {
    puts("You win");
    if ( y < 10 || ((((_BYTE)x - 1) * (_BYTE)x) & 1) == 0 )
      break;
LABEL_16:
    puts("You win");
  }
  return 0;
}

cpp的lambda这种是可以直接双击查看其具体实现的,逐个进去分析每个lambda的含义:

char __fastcall main::$_0::operator()

char __fastcall main::$_1::operator()

_int64 __fastcall main::$_1::operator() const(char)::{lambda(int)#1}::operator()

__int64 __fastcall main::$_0::operator() const(char)::{lambda(char)#1}::operator()

__int64 __fastcall main::$_0::operator() const(char)::{lambda(char)#1}::operator()(__int64 a1, char a2)
{
  _QWORD v3[3]; // [rsp+0h] [rbp-40h]
  __int64 v4; // [rsp+18h] [rbp-28h]
  char v5; // [rsp+23h] [rbp-1Dh]
  int v6; // [rsp+24h] [rbp-1Ch]
  bool v7; // [rsp+2Ah] [rbp-16h]
  bool v8; // [rsp+2Bh] [rbp-15h]
  unsigned int v9; // [rsp+2Ch] [rbp-14h]

  v7 = ((((_BYTE)x_5 - 1) * (_BYTE)x_5) & 1) == 0;
  v8 = y_6 < 10;
  v6 = 1023500310;
  v5 = a2;
  if ( y_6 >= 10 && !v7 )
    goto LABEL_4;
  while ( 1 )
  {
    v3[0] = v4;
    LOBYTE(v3[-2]) = v5;
    v9 = SLOBYTE(v3[-2]) + *(char *)v3[0];      // 相加
    if ( y_6 < 10 || ((((_BYTE)x_5 - 1) * (_BYTE)x_5) & 1) == 0 )
      break;
LABEL_4:
    v3[0] = v4;
    LOBYTE(v3[-2]) = v5;
  }
  return v9;
}

char __fastcall main::$_2::operator()

LOBYTE是一个宏,用于从一个整数或字符中提取最低有效字节(即最低8位)。它的作用是获取给定值的最低8位字节,并将其作为一个单独的字节值返回。

返回 (a1 & 0xff00) + (a2 & 0x00ff)

• 看出v_result = 高位(v_a1) 低位(v_a2)

char __fastcall main::$_2::operator()(__int64 a1, char a2)
{
  _QWORD v3[4]; // [rsp+0h] [rbp-50h]
  __int64 v4; // [rsp+20h] [rbp-30h]
  char v5; // [rsp+2Fh] [rbp-21h]
  int v6; // [rsp+30h] [rbp-20h]
  bool v7; // [rsp+35h] [rbp-1Bh]
  bool v8; // [rsp+36h] [rbp-1Ah]
  char v9; // [rsp+37h] [rbp-19h]

  v7 = ((((_BYTE)x_11 - 1) * (_BYTE)x_11) & 1) == 0;
  v8 = y_12 < 10;
  v6 = -1990873412;
  v5 = a2;
  if ( y_12 >= 10 && !v7 )
    goto LABEL_4;
  while ( 1 )
  {
    v3[0] = v4;
    LOBYTE(v3[-2]) = v5;
    LOBYTE(v3[0]) = v3[-2];
    v9 = v3[0];
    if ( y_12 < 10 || ((((_BYTE)x_11 - 1) * (_BYTE)x_11) & 1) == 0 )
      break;
LABEL_4:
    v3[0] = v4;
    LOBYTE(v3[-2]) = v5;
    LOBYTE(v3[0]) = v3[-2];
  }
  return v9;
}

__int64 __fastcall main::$_2::operator() const(char)::{lambda(char)#1}::operator()

char __fastcall main::$_3::operator()

char __fastcall main::$_3::operator()(__int64 a1, char a2)
{
  _QWORD v3[4]; // [rsp+0h] [rbp-50h]
  __int64 v4; // [rsp+20h] [rbp-30h]
  char v5; // [rsp+2Fh] [rbp-21h]
  int v6; // [rsp+30h] [rbp-20h]
  bool v7; // [rsp+35h] [rbp-1Bh]
  bool v8; // [rsp+36h] [rbp-1Ah]
  char v9; // [rsp+37h] [rbp-19h]

  v7 = ((((_BYTE)x_15 - 1) * (_BYTE)x_15) & 1) == 0;
  v8 = y_16 < 10;
  v6 = -538471561;
  v5 = a2;
  if ( y_16 >= 10 && !v7 )
    goto LABEL_4;
  while ( 1 )
  {
    v3[0] = v4;
    LOBYTE(v3[-2]) = v5;
    LOBYTE(v3[0]) = v3[-2];
    v9 = v3[0];
    if ( y_16 < 10 || ((((_BYTE)x_15 - 1) * (_BYTE)x_15) & 1) == 0 )
      break;
LABEL_4:
    v3[0] = v4;
    LOBYTE(v3[-2]) = v5;
    LOBYTE(v3[0]) = v3[-2];
  }
  return v9;
}

__int64 __fastcall main::$_3::operator() const(char)::{lambda(char)#1}::operator()

综上所述,程序的流程化简为

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v3; // al
  char v4; // al
  char v5; // al
  char v6; // al
  char v8; // al
  char v9; // al
  char v10; // al
  char v11; // al
  char v12[8]; // [rsp+A0h] [rbp-90h] BYREF
  char v13[8]; // [rsp+A8h] [rbp-88h] BYREF
  char v14[8]; // [rsp+B0h] [rbp-80h] BYREF
  char v15[8]; // [rsp+B8h] [rbp-78h] BYREF
  char v16[8]; // [rsp+C0h] [rbp-70h] BYREF
  char v17[7]; // [rsp+C8h] [rbp-68h] BYREF
  char v18; // [rsp+CFh] [rbp-61h]
  int v_pos; // [rsp+D0h] [rbp-60h]
  int v20; // [rsp+D4h] [rbp-5Ch]
  int v_equal_0; // [rsp+D8h] [rbp-58h]
  int v22; // [rsp+DCh] [rbp-54h]
  char v_input_chr; // [rsp+E0h] [rbp-50h] BYREF
  char v_input[23]; // [rsp+E1h] [rbp-4Fh] BYREF
  char v25[8]; // [rsp+F8h] [rbp-38h] BYREF
  char v26[8]; // [rsp+100h] [rbp-30h] BYREF
  char v27[8]; // [rsp+108h] [rbp-28h] BYREF
  char v28[4]; // [rsp+110h] [rbp-20h] BYREF
  int v29; // [rsp+114h] [rbp-1Ch]
  const char **v30; // [rsp+118h] [rbp-18h]
  int v31; // [rsp+120h] [rbp-10h]
  int v32; // [rsp+124h] [rbp-Ch]
  int v33; // [rsp+128h] [rbp-8h]
  bool v34; // [rsp+12Eh] [rbp-2h]

  v32 = 0;
  v31 = argc;
  v30 = argv;
  v29 = time(0LL);
  puts("func(?)=\\"01abfc750a0c942167651c40d088531d\\"?");
  v_input_chr = getchar();
  fgets(v_input, 21, stdin);
  v22 = time(0LL);
  v_equal_0 = v22 - v29;
  v33 = v22 - v29;
  if ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
    goto LABEL_13;
  while ( 1 )
  {
    v20 = strlen(&v_input_chr);
    v34 = v20 != 21;
    if ( y < 10 || ((((_BYTE)x - 1) * (_BYTE)x) & 1) == 0 )
      break;
LABEL_13:
    v20 = strlen(&v_input_chr);
  }
  while ( 1 )
  {
    v_pos = 1;
    if ( y < 10 || ((((_BYTE)x - 1) * (_BYTE)x) & 1) == 0 )
      break;
    v_pos = 1;
  }
  while ( v_pos < 21 )
  {
    if ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
    {
      v18 = v_equal_0 ^ v_input[v_pos - 1];     // v_input[i-1]
      v17[0] = f_a2((__int64)v27, v18);         //  v_input[i]
      v16[0] = f_a2_same((__int64)v25, *(&v_input_chr + v_equal_0 + v_pos - 1));// v_input[i-1]
      v8 = f_a1_mod_a2(v16, 7);                 // v_input[i-1] % 7
      v18 = f_a1_add_a2(v17, (unsigned int)v8); // v_input[i] + v_input[i-1] % 7
      v15[0] = f_byte_merge((__int64)v28, v18); //  v_input[i] + v_input[i-1] % 7
      v14[0] = f_byte_merge((__int64)v28, *(&v_input_chr + v_equal_0 + v_pos - 1));// v_input[i-1]
      v9 = f_a1_xor_a2(v14, 18);                // v_input[i-1] ^ 18
      v13[0] = f_byte_merge_same(v26, (unsigned int)v9);// v_prev_xor_18
      v10 = f_a1_multi_a2(v13, 3LL);            // v_prev_xor_18_mutil_3
      v12[0] = f_a2((__int64)v27, v10);         // (v_prev ^ 18) * 3 
      v11 = f_a1_add_a2(v12, 2LL);              // (v_prev ^ 18) * 3 + 2
      v18 = f_a1_xor_a2(v15, v11);              // (v_input[i] + v_input[i-1] % 7) ^ ((v_prev ^ 18) * 3 + 2)
    }
    do
    {
      v18 = v_equal_0 ^ v_input[v_pos - 1];
      v17[0] = f_a2((__int64)v27, v18);
      v16[0] = f_a2_same((__int64)v25, *(&v_input_chr + v_equal_0 + v_pos - 1));
      v3 = f_a1_mod_a2(v16, 7);
      v18 = f_a1_add_a2(v17, (unsigned int)v3);
      v15[0] = f_byte_merge((__int64)v28, v18);
      v14[0] = f_byte_merge((__int64)v28, *(&v_input_chr + v_equal_0 + v_pos - 1));
      v4 = f_a1_xor_a2(v14, 18);
      v13[0] = f_byte_merge_same(v26, (unsigned int)v4);
      v5 = f_a1_multi_a2(v13, 3LL);
      v12[0] = f_a2((__int64)v27, v5);
      v6 = f_a1_add_a2(v12, 2LL);
      v18 = f_a1_xor_a2(v15, v6);
    }
    while ( enc[v_pos - 1] != v18 );            // 判断enc[v_pos-1] == (v_input[i] + v_input[i-1] % 7) ^ ((v_prev ^ 18) * 3 + 2)
                                                // }
    while ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
      ;
    ++v_pos;
  }
  if ( y >= 10 && ((((_BYTE)x - 1) * (_BYTE)x) & 1) != 0 )
    goto LABEL_16;
  while ( 1 )
  {
    puts("You win");
    if ( y < 10 || ((((_BYTE)x - 1) * (_BYTE)x) & 1) == 0 )
      break;
LABEL_16:
    puts("You win");
  }
  return 0;
}

• 综上,题意为迭代判断 enc[v_pos-1] == (v_input[i] + v_input[i-1] % 7) ^ ((v_prev ^ 18) * 3 + 2)

unsigned char enc[] =
{
  0xF3, 0x2E, 0x18, 0x36, 0xE1, 0x4C, 0x22, 0xD1, 0xF9, 0x8C, 
  0x40, 0x76, 0xF4, 0x0E, 0x00, 0x05, 0xA3, 0x90, 0x0E, 0xA5
};

再次观察代码

猜测是md5,将其拖入到MD5在线加密/解密/破解—MD5在线的md5解密中,得到其值为md5('#') 则v_input[0] = ‘#’

EXP

v_enc = 'F32E1836E14C22D1F98C4076F40E0005A3900EA5'
v_enc = bytearray.fromhex(v_enc)

# puts("func(?)="01abfc750a0c942167651c40d088531d"?");// md5('#')
v_input_chr = ord('#')
v_input = [v_input_chr]

# 原式: (v_input[i] + v_input[i-1] % 7) ^ ((v_input[i-1] ^ 18) * 3 + 2) == v_enc[i-1]
# 两边同时异或((v_input[i-1] ^ 18) * 3 + 2),
# 		化简为:(v_input[i] + v_input[i-1] % 7) = v_enc[i-1] ^ ((v_input[i-1] ^ 18) * 3 + 2)
# 将左边移到右边,化简为:v_input[i]  = (v_enc[i-1] ^ ((v_input[i-1] ^ 18) * 3 + 2))   - v_input[i-1] % 7
for i in range(1, 21):
    v = ((v_input[i-1] ^ 18) * 3 + 2)
    v_input_i = (v_enc[i-1] ^ v) - (v_input[i-1] % 7)
    v_input_i &= 0xff  # 可打印的字符串范围必然在 0xff 以内,此处防溢出
    v_input.append(v_input_i)
flag = [chr(x) for x in v_input]
print(''.join(flag))

#flag{mY-CurR1ed_Fns}

另一种写法exp

enc=[0xf3,0x2e,0x18,0x36,0xe1,0x4c,0x22,0xd1,0xf9,0x8c,0x40,0x76,0xf4,0xe,0x0,0x5,0xa3,0x90,0xe,0xa5]
flag='#'
for i in range(0,20):
	flag+=chr(((enc[i]^((ord(flag[-1])^18)*3+2))-(ord(flag[-1])%7)) &0xff)
print(flag)

flag[-1]是指变量flag中的最后一个字符。

如果看不出是MD5,也可以爆破出第一位

只需要爆破下标为0的字符,即可求出flag

enc = [  0xF3, 0x2E, 0x18, 0x36, 0xE1, 0x4C, 0x22, 0xD1, 0xF9, 0x8C,
  0x40, 0x76, 0xF4, 0x0E, 0x00, 0x05, 0xA3, 0x90, 0x0E, 0xA5]

for j in range(256):
    a = [j]
    for i in range(0,20):
        a.append(((enc[i] ^ ((a[i]^18)*3+2))-(a[i]%7))&0xff)
    s = "".join(map(chr,a))
    if "flag" in s:
        print(s)

通过尝试不同的密钥值来解密加密列表 enc,并检查解密后的结果是否包含 "flag" 字符串。如果找到了包含 "flag" 的解密结果,将其打印出来

SUCTF 2019 Writeup — De1ta - 先知社区 (aliyun.com)

[羊城杯 2020]login [SUCTF2019]hardcpp-CSDN博客

[SUCTF2019]hardcpp-CSDN博客

去OLLVM平坦化([SUCTF2019]hardCPP) - Pinguw's Blog

Frida和IDA分析OLLVM控制流程平坦
小龙在线
01-12 2806
简介:https://github.com/obfuscator-llvm/obfuscator/wiki/Control-Flow-Flattening 特征:常量很多,用来根据常量跳转到正确的位置。 分析控制流程平坦,主要是分析交叉引用,有两种方法,一种从输入参数开始分析交叉引用,一种是从输出结果分析交叉引用。 ...
【爬虫逆向】一文掌握混淆工具Ollvm(超级详细!)
最新发布
数据知道的博客
03-13 2905
Ollvm 是一个强大的代码混淆工具,通过多种混淆技术增加逆向工程的难度。多种混淆技术:控制流扁平、指令替换、虚假控制流、字符串加密。灵活配置:支持调整混淆强度。跨平台支持:适用于 Windows、Linux 和 macOS。在逆向分析中,Ollvm 的混淆技术会显著增加分析难度,但通过结合静态和动态分析工具,仍然可以逐步还原代码逻辑。
初识ollvm控制流平坦
weixin_42545308的博客
10-26 1058
app:B站, 版本:随便搞了个最新版 目标:分析sign算法 1. 算法定位 B站的java层定位并不难找,直接搜索大法即可定位到生成sign的native函数。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编
控制流平坦学习
szxpck的博客
07-14 5051
控制流平坦OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制流和指令替换,这3种保护方式可以累加,对于静态分析来说混淆后代码非常复杂。 控制流平坦的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行流程。 例如一个常见的if-else分支结构的程序可以是这样: 经过控制流平坦之后,得到了一个相当规整的流程图: 控制流平坦在代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。 混
平坦
weixin_34087307的博客
08-15 277
Flattening One of the common usages of object-object mapping is to take a complex object model and flatten it to a simpler model. You can take a complex model such as: public class Order { ...
利用符号执行除控制流平坦
键盘的起始页
09-28 1487
1. 背景 1.1 控制流平坦 控制流平坦(control flow flattening)的基本思想主要是通过一个主分发器来控制程序基本块的执行流程,例如下图是正常的执行流程 经过控制流平坦后的执行流程就如下图 这样可以模糊基本块之间的前后关系,增加程序分析的难度,同时这个流程也很像VM的执行流程。更多控制流平坦的细节可以看Obfuscating C++ programs via control flow flattening,本文以Obfuscator...
OLLVM中的控制流平坦技术详解
控制流平坦技术概述 ## 1.1 控制流平坦技术的定义 控制流平坦(Control Flow Flattening)技术是一种代码混淆技术,旨在增加程序的复杂性和抵抗逆向工程。它通过改变程序的控制流程,使得逆向分析变得更加...
QCTF -re -ollvm
BadRer的博客
07-20 1147
前言 首先建议看下之前的文章,这题基本上用pin可以很快的解决。 过程 具体的pin和pintool我就不说了 0x0 拿到题目很蒙,IDA打开,发现全是gmp,mpz的东西,了解一点的同学应该能联想到RSA,但是好像对解题没什么帮助哈。总之初略的理了一下逻辑,通过两种不同的方式进行RSA加密,第一个是直接利用的RSA加密原理,第二是通过使用gmp库的API函数。如果仅仅是RSA加密其实...
190505 逆向-DDCTF2019(Reverse)
热门推荐
whklhhhh的博客
05-06 3万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
Pin-in-ctf 学习分析
BadRer的博客
07-20 3436
前言 这次打qctf,做到了一个ollvm,控制流平坦的题,虽然不是很明白原理(但这么叫感觉很6批)。听师傅们说可以用pin解决,于是先学习一下pin在ctf中的应用,为解决olvm铺路。 应用 具体的pin和pintool我就不说了 0x0 NDH2k13-crackme-500 首先看到这个文件700+k,一看就不好分析,nm提示内存分配太多?,IDA打开,提示各种错误,不多我还...
Android逆向-实战so分析-某洲_v3.5.8_unidbg学习
哔_哩哩!的博客
07-20 5714
文章目录1.unidbg的介绍2.unidbg的安装2.1.下载unidbg工具2.2.导入IDEA2.3.验证导入是否成功3.unidbg的使用3.1.目标方法静态分析3.2.模拟执行目标方法3.3.算法分析3.3.1.OLLVM混淆3.3.2.指令级TraceJNIEnv、jobject、jclassJNIEnv指针是什么东西?jobject和jclass又有什么区别? 1.unidbg的介绍 unidbg是一款基于unicorn的用来模拟执行so的逆向工具,可以让安全研究人员直接在PC上运行andr
Xcode 4.3过审 工程混淆方案--OLLVM编译
02-28
通过混淆ollvm,更改xcode编译方式。达到混淆目的。来过审ios4.3条款
混淆技术研究-OLLVM混淆-控制流平坦(FLA)
Tasfa的博客
09-10 1553
控制流平坦通过将程序中的条件分支语句转为等价的平铺控制流来实现。通常,这包括将原始的分支语句(如if语句、switch语句)中的每个分支提取出来,并将它们放置在一系列连续的基本块中,然后使用一个状态变量或标志来选择要执行的基本块。这样,原本嵌套的条件分支结构就被展开成了一个扁平的基本块序列。
平坦学习及环境安装踩坑过程
weixin_43781139的博客
10-17 936
逆向学习-平坦
deflat 脚本学习【OLLVM混淆】#
qq_41146932的博客
08-03 991
就这道题而言,deflat 脚本中angr 对局部的模拟执行显然无法获取真实块间的执行顺序,重建控制流显然也无从谈起。当然静态查找各个控制流平坦的功能块效果还是可以的。那么如何通过angr,有序的、联系上文地进行模拟执行,获取真实块的执行逻辑,显然是关键点!
【转载】基于LLVM Pass实现控制流平坦
ronnie88597的博客
03-01 1284
基于LLVM Pass实现控制流平坦 文章目录基于LLVM Pass实现控制流平坦0x00. 什么是LLVM和LLVM Pass0x01. 首先写一个能跑起来的LLVM Pass0x02. 控制流平坦的基本思想和实现思路0x03. 基于LLVM Pass实现控制流平坦0x04. 混淆效果测试 转载:https://mp.weixin.qq.com/s/FD5YRurcLGh_VlV9GlWB8w 提到代码混淆时,我首先想到的是著名的代码混淆工具OLLVMOLLVM(Obfuscator-LLV
一款JavaScript 混淆(Obfuscator)工具(Tool)的研究(四)花指令和控制流平坦
lacoucou的专栏
04-12 1532
源代码: // Paste your JavaScript code here function hi() { console.log("Hello World!"); var d = new Date(); var time = d.getHours(); if (time<10) { document.write("<b>早上好</b>")...
用angr除o-llvm控制流平坦
liumengdeqq的专栏
01-02 2600
更改这篇文章中最新版本的bug https://security.tencent.com/index.php/blog/msg/112 和补充这篇文章的环境搭建    1.配置mac中docker环境      (1)下载 https://download.docker.com/mac/stable/Docker.dmg      (2)可以按照这篇文章中传mac到docker文件 http
OLLVM混淆
m0_74148881的博客
04-10 1012
通过分析可以发现原始的执行逻辑只在真实块以及序言和retn块中,其中会产生分支的真实块中主要是通过CMOV指令来控制跳转到哪一个分支,常见的分析工具有angr。在代码块前添加一个判断代码块来改变CFG,永真或永假判断使进程直接跳转到原代码块,并将整个代码内容被随机生成的垃圾指令填满,增加逆向成本。用IDA查看未经过控制流平坦的控制流程图(CFG)使用复杂的指令代替简单的二元运算(如加减法、或、异或)这样可以模糊基本块之间的前后关系,增加程序分析的难度。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值