Hex-Rays: 十步杀一人,两步秒OLLVM-BCF

最新推荐文章于 2024-06-11 09:38:57 发布
最新推荐文章于 2024-06-11 09:38:57 发布
阅读量2.2k 收藏 4
点赞数
原文链接:https://bbs.pediy.com/thread-257213.htm
版权

以下大部分内容来自知识星球, 因星球不再更新(效果不是很好,大家都不是很活跃,所以走免费路线了, 见文末),特重新编译并搬运
什么是 Bogus Control Flow
Bogus Control Flow 即虚假控制流,顾名思义,就是假的控制流,一般(OLLVM)表现为 一条结果恒定的条件表达式 & 一个永不到达的分支。

OLLVM 中的 BCF
OLLVM 中的虚假控制流是利用全局变量来构造条件表达式以制造虚假控制流,因为这个全局变量不会有写入的地方,所以这个表达式即一条结果恒定的条件表达式,因此始终只会走向一个真实分支,而另外的虚假分支即一个永不到达的分支。 大家把这个表达式称为 “不透明谓词”

反混淆的思路
上面说了, 虚假控制流就是永不到达的分支, 只要你了解一点点的编译原理、编译器优化,就会想到,这种代码应该都是被死代码消除(DCE, Dead Code Elimination)的。
所以只要能实现运行一遍 DCE 即可消除掉 BCF 混淆。

利用 IDA 反混淆
HexRays Decomplier肯定是有DCE优化的,但是为什么不能自动优化掉BCF? 原因出在不透明谓词的识别上。

之前快出 IDA7.3 的时候,就有人说 7.3 支持自动优化不透明谓词,然而拿到手之后发现并没有什么区别, 实际上经过测试,这个优化我用 6.9 测试也是存在的。

然而,使 IDA 无法识别出不透明谓词的原因是:恒定的全局变量是变量而不是常量,也就是说,这个变量的地址是可写而非只读的,你想办法把它改为只读,IDA 就可以进行优化了。

实测
随便找了一个 bcf 样本测试。优化之前是这个样子的:

在这里插入图片描述
图片描述

那么如何让这堆 dword_xxx 变成可读呢?
在这里插入图片描述

图片描述

因为我的.data 段里没有任何其他东西,所以:

图片描述

在这里插入图片描述
Edit Segment, 把 Write 勾掉即可。

再按一下 F5,神奇的事情就发生了~

在这里插入图片描述
图片描述

最后,欢迎大家关注俺的公众号,会时不时的分享一些逆向的小技巧:

jitaliangliang111
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HexRaysPyTools:IDA Pro插件可改善HexRays反编译器的工作,并有助于重建结构和类
05-04
IDA Pro插件 目录 关于 该插件有助于创建类/结构和检测虚拟表。 它还有助于更快地转换反编译器输出,并允许执行某些原本不可能的工作。 注意:该插件支持带有Python 2/3的IDA Pro7.x。 安装 只需将HexRaysPyTools.py文件和HexRaysPyTools目录复制到Ida插件目录即可。 配置 可以在IDADIR\cfg\HexRaysPyTools.cfg debug_message_level 。 如果您有错误并想要显示日志以及有关在问题中如何遇到的信息,请设置10。 propagate_through_all_names 。 如果您不仅要重命名功能的默认变量,请设置True 。 store_xrefs 。 指定是否将在反编译阶段收集的交叉引用存储在数据库中。 (预设-True) scan_any_type 。 如果要将扫描应用于任何变量类型,请设
hex-engine:用于浏览器的现代2D游戏引擎
02-04
Hex Engine中,每个Component都是一个函数,Component可以调用特殊的Hook函数来定义其在游戏引擎中的行为。 Hex Engine开箱即用,带有功能强大的开发检查器和现代化的前端代码编译管道。 开箱即用,Hex Engine...
HexRays(基础知识)
m0_72827793的博客
02-20 1182
HexRays的类型变化一般情况下可以将一个变量的长度强行增加,但是将一个长的变量改短时往往会报警”Sorry,can not change variable type“,所以将变量加长需要谨慎,如果改错,可以删除函数,再定义函数,以重置该函数的各种信息。HexRays为用户提供了更改标识符名称的功能:将光标移动到标识符上,然后按N键,弹出更改名称的对话框,在输入一个合法的名称,然后按OK即可。HexRays充分利用前面介绍过的IDA的类型分析系统,在修改类型的标识符号上按Y键,即可调出对话框来修改类型。
探索逆向工程的新境界:pyhexraysdeob项目深度剖析与应用推荐
最新发布
gitblog_00081的博客
06-11 491
探索逆向工程的新境界:pyhexraysdeob项目深度剖析与应用推荐 项目地址:https://gitcode.com/idapython/pyhexraysdeob 项目介绍 在黑客界与逆向工程的深邃领域中,pyhexraysdeob犹如一盏明灯,照亮了代码去混淆的路径。该开源项目是知名工具HexRaysDeob的Python版本转化,由Rolf Rolles的原C++作品迁移而来,并在IDA...
推荐一个工具--hexrays
juestSoftware的专栏
07-22 1199
工具太强悍了,不愧为IDA的胞弟,工欲善其事,必先利其器.在看雪上有下载,good YAG
Hex-Rays.Decompiler ...
weixin_30500289的博客
01-06 261
Hex-Rays.Decompiler适合对二进制代码进行分析的程序员。它把可执行程序解读成类C语言的代码,具有简洁,结构清楚的特点,这是针对DataRescue.IDA.Pro.Advanced.v5.2的版本 DataRescue.IDA.Pro.Advanced.v5.2.windows-YAG.zip Hex-Rays.Decompiler.v1.0.for.DataRescue.I...
Hex-Rays Decompiler
谢绝留言与私信
12-30 9128
original url from : http://hi.baidu.com/fuyjlu/item/78496c90eeb69edd1b49dfa9 Hex-Rays Decompiler Hex-Rays Decompiler是Hex-Rays公司的旗舰产品,带来了触手可及的数百万程序员的二进制分析软件。它将可执行程序转换成像C一样的人脑可读的伪代码文本。 Hex-Ra
hex-check:检查字符串或数字是否为有效的十六进制值
05-10
$ npm install hex-check 用法 const hexCheck = require ( 'hex-check' ) ; hexCheck ( 934 ) ; // returns 'true' hexCheck ( 243212 ) ; // returns 'true' hexCheck ( 0x5012FF ) ; // returns 'true' hexCheck ...
Hex-Rays MicrocodeExplorer-C/C++开发
05-27
Hex-Rays MicrocodeExplorer Hex-Rays MicroCode Explorer用于浏览微代码的Hex-Rays微代码API插件从https://github.com/RolfRolles/HexRaysDeob移植在伪代码视图上实现菜单项它生成供选择的微代码并将其转储至输出...
hex-rays公司最强的反编译工具 IDA Pro 6.4 Plus 最新版的来了
大老的逆向专栏
06-05 1万+
hex-rays公司最强的反编译工具 IDA Pro 6.4 Plus 最新版本 hex-rays公司最强的反编译工具 IDA Pro 6.4 Plus 最新版的来了 反汇编工具介绍 IDA PRO简称IDA(Interactive Disassembler) ,是一个世界顶级的交互式反汇编工具,有两种可用版本。标准版(Standard)支持二十多种处理器。高级版(A
IDA+hexray程序+教程(5)
06-30
IDA+Hexray程序+教程 可分析反汇编文件生成代码文件 由于文件过大分为5个包上传,只收一次分
用于Hex-Ray的IDA-Pro的IDA批反编译插件和脚本
01-29
用于Hex-Ray的IDA-Pro的IDA批反编译插件和脚本,它添加了批量反编译多个文件及其导入的功能,并在pseudocode.c文件中添加了附加注释(xref、stack var size)
解密二进制世界:Hex-Rays IDA Pro forMac/win交互式反汇编工具
2401_82627223的博客
02-03 666
Hex-Rays IDA Pro是一款功能强大、易用性强的反汇编工具,可以帮助用户更加深入地理解二进制代码的结构和功能。
我的LLVM学习笔记——OLLVM混淆研究之BCF
suningning的专栏
11-29 3964
因为要做代码保护,所以抽时间研究了下OLLVM中的三种保护方案:BCF(Bogus Control Flow,中文名虚假控制流)、FLA(Control Flow Flattening,中文名控制流平坦化)、SUB(Instructions Substitution,中文名指令替换),本文是BCF介绍篇。 1,查看BCF的头文件,暴露给外界的两个函数如下: // Namespace name...
2022年最佳的9种逆向工程工具[持续更新]
热门推荐
Meta.Qing的博客
08-04 2万+
逆向是复杂的。然而,软件开发人员经常在面临一项具有挑战性的任务时转向反向工程:增强软件安全性、使软件与第三方组件兼容、维护遗留代码,等等。在本文中,我们将描述我们的软件逆向程序在工作中所依赖的主要工具,并展示如何使用这些工具的实际示例。本文对于熟悉汇编语言和网络交互原则的读者以及具有使用API函数进行Windows编程的经验的读者非常有用。.........
ollvm的使用
骑着蜗牛找马儿
04-18 6592
https://github.com/obfuscator-llvm/obfuscator.githttps://github.com/obfuscator-llvm/obfuscator/tree/llvm-4.0一、下载源码:"-b llvm-4.0",下载llvm-4.0 branch,目前是最新的二、Build(1)mkdir build(2)cd build/(3)cmake -DCMA...
【iOS逆向与安全】使用ollvm混淆你的源码_
qq_44005305的博客
06-15 221
简单的入门文章,希望能帮助到你。最后给大家准备了一份大礼包!
逆向学习入门
megaparsec
09-26 2623
一、逆向工具 1.反汇编反编译工具 IDA pro(Hex-Ray) 绝大部分指令集架构 dnspy(.net/C#) JADX、GDA、JEB(APK、andriod) Jd-gui (java) python字节码(uncomply6反编译,pyc、网上在线的反编译工具https:tool.lu/pyc/,pyinstaller打包:https://github.com/Ravensss/pyintxtractor) Lua(luadec反编译) Go(GoalangHelper插件反编译) 2.调试工
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值