c/c++反混淆方法

最新推荐文章于 2024-04-17 11:04:22 发布
最新推荐文章于 2024-04-17 11:04:22 发布
阅读量2.1k 收藏 5
点赞数 1
分类专栏: 逆向工程 Reverse Engineering 逆向基础 文章标签: deobfuscation 反混淆 c/c++

deobfuscation

记需要反混淆的函数为output=obf-function(input)

 

反混淆的思路,首先标记输入的变量记为input-symbol,通过Taint跟踪改变量的流向,并提取与该输入变量input-symbol和输出变量output-symbol有关的所有表达式exprs。再将exprs转化为Arybo表达式,然后再将其转化为LLVM-IR指令的形式。最后使用llvm编译器-o3选项对llvm-ir指令做编译优化,生成可执行文件。

1 使用LIEF解析binary文件

  • 提取binary文件中PT_LOAD段,将其加载到模拟器内存中。

    1

    2

    3

    4

    5

    6

    phdrs = binary.segments

      for phdr in phdrs:

          size   = phdr.physical_size

          vaddr  = phdr.virtual_address

          debug('[+] Loading 0x%06x - 0x%06x' %(vaddr, vaddr+size))

          ctx.setConcreteMemoryAreaValue(vaddr, phdr.content)

    其中ctx = TritonContext(),用于获取一个Triton实例对象,用于动态分析。

  • binary文件中的导入符号hook处理(具体可以看makeRelocation()),确保模拟执行时能够正常执行所需的API函数,如:printf,memcpy,rand,strtoul等,即使用python语法来实现这些API函数。用于后面模拟器执行。

2 模拟执行并提取相关指令。

  • 模拟binary程序的执行过程,首先使用LIEF获取pc入口地址(binary.entrypoint).
  • 在x86指令长度为16,从入口地址中获取16比特长度的数据,即获取一条指令(opcodes = ctx.getConcreteMemoryAreaValue(pc, 16))。
  • 指令执行,调用ctx.processing执行指令。
  • 使用Taint跟踪与输入变量相关的所有表达式,并将这些表达式提取出来。

  • 1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    18

    19

    20

    21

    22

    23

    24

    25

    26

    27

    28

    29

    30

    31

    32

    33

    34

    35

    36

    37

    38

    39

    40

    41

    42

    43

    44

    45

    46

    47

    48

    49

    def emulate(ctx, pc):

      global condition

      global totalInstructions

      global totalUniqueInstructions

     

      count = 0

      while pc:

          # Fetch opcodes

          opcodes = ctx.getConcreteMemoryAreaValue(pc, 16)

     

          # Create the Triton instruction

          instruction = Instruction()     ##获取pc对应的指令

          instruction.setOpcode(opcodes)

          instruction.setAddress(pc)

     

          # Process

          if ctx.processing(instruction) == False:

              debug('[-] Instruction not supported: %s' %(str(instruction)))

              break

     

          count += 1

     

          if pc in totalUniqueInstructions:

              totalUniqueInstructions[pc] += 1

          else:

              totalUniqueInstructions[pc] = 1

     

          if instruction.getType() == OPCODE.X86.HLT:     ##执行结束

              break

     

          if ctx.isRegisterSymbolized(ctx.registers.rip) and len(condition) == 0:    #ctx.isRegisterSymbolized(ctx.registers.rip),判断ip是否跟symbol有关联,如果是,则表示改instruction中ip跟变量symbol有关,即变量symbol的值会改变此处指令中ip的跳转,关于symbol变量的初始化看下面的hookingHandler()。

              exprs = ctx.sliceExpressions(ctx.getSymbolicRegister(ctx.registers.rip))    #获取与ip有关的所有表达式,并将它保存到全局变量comdition中。

              condition.append((instruction.isConditionTaken(), exprs))   ##isConditionTaken()判断跳转条件是否成立。

     

          ##sliceExpressions(),用于获取与`expr`相关的所有`expressions`。

     

          # Simulate routines

          hookingHandler(ctx)   ##处理前面hook的函数,并引入输入变量symbol,再对该变量做Taint跟踪,通过Taint跟踪来得到与之相关的所有表达式。

     

          # Next

          pc = ctx.getConcreteRegisterValue(ctx.registers.rip)  ##获取ip值。

     

      debug('[+] Instruction executed: %d' %(count))

      debug('[+] Unique instruction executed: %d' %(len(totalUniqueInstructions)))

      debug('[+] PC len: %d' %(len(condition)))

     

      # Used for metric

      totalInstructions += count

      return

    hookingHandler,从名字可以知道,这个函数用于处理之前被hook的函数。

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    18

    19

    20

    21

    22

    23

    24

    25

    26

    27

    28

    29

    30

    31

    32

    33

    34

    35

    36

    37

    38

    39

    40

    41

    42

    43

    44

    45

    46

    47

    48

    49

    50

    51

    52

    53

    54

    55

    56

    57

    58

    59

    60

    61

    def hookingHandler(ctx):

      global condition

      global paths

      global totalFunctions

     

      pc = ctx.getConcreteRegisterValue(ctx.registers.rip)

      for rel in customRelocation:

          if rel[2] == pc:

              # Emulate the routine and the return value

              ret_value = rel[1](ctx)       ##executing handler

              if ret_value is not None:

                  ctx.concretizeRegister(ctx.registers.rax)

                  ctx.setConcreteRegisterValue(ctx.registers.rax, ret_value)

     

              # Used for metric

              totalFunctions += 1

     

              # tigress user input

              if rel[0] == 'strtoul':

                  debug('[+] Symbolizing the strtoul return')

                  ##rax为strtoul返回值,使用convertRegisterToSymbolicVariable()将该返回值转化为用于被Taint跟踪的变量symbol。

                  var1 = ctx.convertRegisterToSymbolicVariable(ctx.registers.rax)   #rax 为strtoul的返回值,将返回值转化为变量的形式,ref_156 = SymVar_0。

                  var0 = ctx.getSymbolicVariableFromId(0)

                  ctx.setConcreteVariableValue(var0, ctx.getConcreteVariableValue(var1))

     

                  rax = ctx.getSymbolicRegister(ctx.registers.rax)

                  ast = ctx.getAstContext()

                  rax.setAst(ast.variable(var0))

     

              # tigress user end-point

              if rel[0] == 'printf':  

                  debug('[+] Slicing end-point user expression')

                  ## rsi中保存要被printf()打印出来的output值(以sample/sample4.c为例),getSymbolicRegister(rsi)来判断用于Taint跟踪的输入值symbol是否与rsi有关。

                  # 如果是,则使用sliceExpressions(rsi)把从symbol过来的,并且与rsi相关的所有表达式expres保存在全局变量paths中。

                  # 如果有兴趣可以把expres打印出来看看,就知道什么样子了。

                  if ctx.getSymbolicRegister(ctx.registers.rsi):

                      exprs = ctx.sliceExpressions(ctx.getSymbolicRegister(ctx.registers.rsi))

                      paths.append(exprs)

     

                  #else:

                  #    ast = ctx.getAstContext()

                  #    n = ctx.newSymbolicExpression(ast.bv(ctx.getConcreteRegisterValue(ctx.registers.rsi), 64))

                  #    exprs = {n.getId() : n}

                  #    paths.append(exprs)

                  else:

                      debug('[+] -------------------------------------------------------------- ')

                      debug('[+] /!\ /!\ /!\ /!\ /!\ /!\ Symbolic lost! /!\ /!\ /!\ /!\ /!\ /!\ ')

                      debug('[+] -------------------------------------------------------------- ')

                      sys.exit(-1)

     

              # Get the return address

              ret_addr = ctx.getConcreteMemoryValue(MemoryAccess(ctx.getConcreteRegisterValue(ctx.registers.rsp), CPUSIZE.QWORD))

              ##获取函数调用的返回地址,并赋值给rip。

              # Hijack RIP to skip the call

              ctx.concretizeRegister(ctx.registers.rip)

              ctx.setConcreteRegisterValue(ctx.registers.rip, ret_addr)

     

              # Restore RSP (simulate the ret)

              ctx.concretizeRegister(ctx.registers.rsp)

              ctx.setConcreteRegisterValue(ctx.registers.rsp, ctx.getConcreteRegisterValue(ctx.registers.rsp)+CPUSIZE.QWORD)

      return

3 编译生成反混淆程序

###a 这里假设程序只有一条执行路径
即程序不会根据输入值input-symbol的不同而执行不同的分支。
则此时,全局变量paths[0]中得到与之相关的所有表达式。
使用下面代码,将所有表达式保存到文件中,其中pathNumber=0

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

def generateSymbolicExpressions(pathNumber):

    global paths

    exprs = paths[pathNumber]

 

    ssa = str()

    last = 0

    for k, v in sorted(exprs.items()):

        ssa += str(v) + '\n'

        last = k

 

    name = 'symbolic_expressions/%s.py' %(sys.argv[1].split('/')[-1])

    debug('[+] Generating %s' %(name))

    fd = open(name, 'w')

    fd.write(TEMPLATE_GENERATE_HASH_SSA % (ssa, last))

    fd.close()

    return

使用Arybo开源项目中tritonexprs2arybo()方法,将exprs中所所有表达式转化为arybo表达式;以及使用tritonast2arybo()获取输入变量input-symbol
最后使用to_llvm_function将其转化为llvm-ir指令,再recompile将这些ir指令重新编译生成可执行文件。

1

2

3

4

5

6

7

8

9

10

11

12

def generateLLVMExpressions(ctx, pathNumber):

    global paths

    exprs = paths[pathNumber]

 

    debug('[+] Converting symbolic expressions to an LLVM module...')

    e = tritonexprs2arybo(exprs)

    var = tritonast2arybo(ctx.getAstContext().variable(ctx.getSymbolicVariableFromId(0)))

 

    debug('[+] Converting arybo to an LLVM function...')

    M = to_llvm_function(e,[var.v])

 

    return M

流程如下:

1

2

3

4

5

generateSymbolicExpressions(0)

# Generate llvm of the first path

M = generateLLVMExpressions(ctx, 0)

# Recompile the LLVM-IL

recompile(M)

假设程序执行路径存在分支

流程如下,直接在代码里面解释,这代码里面假设程序只有两条可能的路径会走。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

ssa_pc   = str()

exprs_pc = condition[0][1]    ##condition为一个全局变量,在前面emulate中condition.append((instruction.isConditionTaken(), exprs)),保存的条件跳转表达式。

####exprs_pc保存这与ip跳转相关的所有表达式。

last_pc  = None

for k, v in sorted(exprs_pc.items()):

    # print 'v', str(v)

    ssa_pc += str(v) + '\n'

    last_pc = v

 

ssa_b1   = str()

exprs_b1 = paths[0]    ###第一条执行路径的所有表达式。

# print 'exprs_b1', exprs_b1

last_b1 = 0

for k, v in sorted(exprs_b1.items()):

    ssa_b1 += '    ' + str(v) + '\n'

    last_b1 = k

    # print 'path v', str(v)

 

ssa_b1 += '    endb = ref_%d\n' %(last_b1)

 

debug('[+] Asking for a new input...')

pcAst = ctx.getPathConstraintsAst()

print 'pcAst, ', pcAst

ast   = ctx.getAstContext()

model = ctx.getModel(ast.lnot(pcAst))  #lnot:Creates a lnot node (logical NOT).

if model:

    VM_INPUT = str(model[0].getValue())   ###获取能够触发另外一条执行路径的输入值。

else:

    debug('[+] No model found! Opaque predicate?')

    # Generate symbolic epxressions of the first path

    generateSymbolicExpressions(0)

 

    # Generate llvm of the first path

    M = generateLLVMExpressions(ctx, 0)

 

    # Recompile the LLVM-IL

    recompile(M)

    return 0

 

# Re-simulate an execution to take another path

run(ctx, binary)     #######重新模拟执行一次binary程序。

 

ssa_b2 = str()

exprs_b2 = paths[1]    ####另一条执行路径的所有表达式。

last_b2 = 0

for k, v in sorted(exprs_b2.items()):

    ssa_b2 += '    ' + str(v) + '\n'

    last_b2 = k

ssa_b2 += '    endb = ref_%d\n' %(last_b2)

 

name = 'symbolic_expressions/%s.py' %(sys.argv[1].split('/')[-1])

debug('[+] Generating %s' %(name))

fd = open(name, 'w')

##ssa_b1以及ssa_b2分别表示两条执行路径。分别对应condition判断条件true以及false对应的两个跳转分支。ssa_pc则表示与该条件判断有关的所有表达式,用于计算该condition是true或false

if condition[0][0]:   

    fd.write(TEMPLATE_GENERATE_HASH_SSA_PC1 % (ssa_pc, '%s' %(str(last_pc.getAst().getChildren()[0])), ssa_b1, ssa_b2))

else:

    fd.write(TEMPLATE_GENERATE_HASH_SSA_PC1 % (ssa_pc, '%s' %(str(last_pc.getAst().getChildren()[0])), ssa_b2, ssa_b1))

fd.close()

 

debug('[+] Converting symbolic expressions to an LLVM module...')

last_pc_expr = None

last_pc_id   = 0

exprs_pc = condition[0][1]

for k, v in sorted(exprs_pc.items()):

    last_pc_expr = v

    last_pc_id = k

del condition[0][1][last_pc_id]

 

ast  = ctx.getAstContext()

nc   = ast.ite(last_pc_expr.getAst().getChildren()[0], ast.bvtrue(), ast.bvfalse())

expr = ctx.newSymbolicExpression(nc)

condition[0][1][expr.getId()] = expr

 

c   = tritonexprs2arybo(condition[0][1])

e1  = tritonexprs2arybo(paths[0])

e2  = tritonexprs2arybo(paths[1])

ast = ctx.getAstContext()

var = tritonast2arybo(ast.variable(ctx.getSymbolicVariableFromId(0)))

if condition[0][0]:

    M = to_llvm_function(ExprCond(c, e1, e2), [var.v])

else:

    M = to_llvm_function(ExprCond(c, e2, e1), [var.v])

 

# Recompile the LLVM-IL

recompile(M)

4 实验结果对比

结果如图1,图2,图3所示。其中图1为原程序编译后使用ida打开看到的控制流程图;图2为使用相关混淆方法对源程序做混淆处理后编译生成的可执行文件,再使用ida打开看到的控制流程图;图3为使用本文方法对混淆后可执行文件做反混淆处理后得到的新的可执行文件,再使用ida打开看到的控制流程图。虽然反混淆后程序的控制流图跟原程序有所不同,但执行结果是一致的。
原程序CFG
[图1] 原程序控制流程图

 

混淆后程序CFG
[图2] 混淆后程序控制流程图

 

反混淆后程序CFG
[图3] 反混淆后程序控制流程图

 

我只是解读搬运工,有兴趣读者可以直接下载该开源项目,点击链接
当然,该方法仍存在一定程度上的局限性,还无法做到通用。有什么问题可留言。

https://bbs.pediy.com/thread-249210.htm

Omni-Space
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ProtectProcess.zip_钩子与API截获_C/C++_
08-12
标题中的"ProtectProcess.zip_钩子与API截获_C/C++_"表明了这是一个关于C/C++编程中使用钩子和API截获技术来保护进程不被其他工具如任务管理器、XueTr或360进程管理器结束的项目。在Windows操作系统中,钩子是一种...
cpp-CObjectiveC项目代码混淆工具
08-16
C /Objective C 项目代码混淆工具,使用C 和Qt开发
C/C++代码混淆
code helper
07-24 3545
试图通过混淆 ```C/C++```源代码以达到保护知识产权的目的的做法其实就是自欺欺人,因为不论如何混淆代码,到了编译阶段代码终究是要被还原成它本来的样子,说到底,这只是一层窗户纸而已。 我曾利用 ```宏```机制实现过一个 ```C/C++```代码混淆器,效果乍一看还真能给人一种眼前一亮的神奇,但在 *行家* 眼里这真就是一层窗户纸而已——捅破它只需一个编译命令 ***```gcc -E ```*** 。但若只为了阻挡伸手党白嫖你的代码,嘿嘿,它还是能起到一定的作用滴٩(๑>◡......
C++混淆
u011609063的博客
12-05 757
C++混淆1. const指针1.1 指向常量的指针1.2 指针常量1.3 指向常量的指针常量2. 传值和传址3. 指针4. 类5. 构造函数与析构函数5.1 构造函数5.2 析构函数5.3 总结6. 继承 1. const指针 1.1 指向常量的指针 定义一个指针,使它本身的值可变,但是它所指向的值不可变。 形式一般为 const type *name; 是否初始化无所谓 例如: const ...
【教程】一个比较良心的C++代码混淆
最新发布
hrtyurthfgh的博客
04-17 418
本文介绍了一个比较良心的C++代码混淆器,它可以用于信息竞赛训练和保护代码的安全性。我们展示了混淆器的界面截图、已知的bug,并提供了一个示例来演示混淆器的使用方法。希望这个混淆器能够帮助开发者保护他们的代码并提高代码的安全性。
如何提升代码的安全性 —— 代码混淆
ZP1015
05-25 1760
目录一、背景1.1 Android应用安全存在多重隐患二、代码混淆2.1 代码混淆的原理2.2 代码混淆方法2.3 常见的代码混淆方式三、 C/C++ 代码混淆3.1 Obfuscator-LLVM实现C/C++混淆3.1.1 常见的混淆方法3.1.2其他常见的C/C++混淆手段:四、代码混淆可能带来的问题 一、背景 1.1 Android应用安全存在多重隐患 代码可逆向:客户端App的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据; 功能泄漏:客户端App中高权限行为和功能被其他未授权的应
c/c++字符串混淆方案总结
热门推荐
我的专栏
04-29 2万+
有过破解native程序经验的人都知道,在大量的汇编代码面前不可能是从头开始理解代码的,必须找到一两个点进行突破。字符串往往就是这样的关键点,在代码中hardcode的字符串会可以原封不动的在生成的binary中查找到。所以要增加破解的难度,对字符串进行混淆(或者叫加密,下面的文字可能混淆和加密混着用,在这里没有区别)是很重要的一步。只要字符串在代码中出现,那么其必然会在binary中出现,所以要
C# 编译-Reflector 混淆-De4Dot 修改dll/exe代码-reflexil
zzy7075的专栏
09-20 5489
编译工具 Reflector     破解版下载地址:http://pan.baidu.com/s/15UwJo     使用方法:略 混淆工具De4Dot     开源软件 下载地址http://pan.baidu.com/s/1d4fLt     使用方法: 参见:http://www.cnblogs.com/jio92/p/de4dot.html 修改
PEExplorer_8307.rar_C/C++__C/C++_
08-09
6. **混淆混淆**:在安全领域,PEExplorer可用于分析混淆过的代码,通过查看解混淆后的汇编结果,有助于理解恶意软件的行为模式。 7. **其他实用功能**:除了以上主要功能,PEExplorer还提供了如修改PE头信息...
940383.rar_C/C++_
08-10
标题 "940383.rar_C/C++_" 暗示了这是一个关于 C/C++ 编程语言的资源包,可能包含了一些源代码或工具,用于程序加密。描述中的 "为程序加密的代码" 表明这个压缩包里的内容是关于如何保护软件免受非法复制、逆向工程...
210.rar_图形图像处理_C/C++_
08-12
标题中的“210.rar_图形图像处理_C/C++_”表明这是一个关于图形图像处理的C/C++编程主题的压缩文件。在这个主题中,我们主要关注的是如何利用C或C++编程语言进行图像处理,特别是涉及到一种特定的技术——三维Arnold...
JS解压混淆超好用的小工具
01-06
对于查看被混淆的JS代码的程序员有很大帮助,可以使混淆后的JS代码格式化成日常编码的书写格式,让代码还原到美观,高可读性的状态。
Codewarrior-protect-your-code.rar_单片机开发_C/C++_
08-11
此外,还可以通过代码混淆调试技巧来增加逆向工程的难度,从而提高代码的安全性。 除此之外,Codewarrior的集成开发环境还支持版本控制,使得团队协作更为便捷。通过与Git、SVN等版本控制系统集成,开发者可以...
c代码混淆
woailp___2005的专栏
01-07 1572
#include<stdio.h> #include<string.h> int my_test_fuction(int a,int b) { return a+b; } int main () { printf("%d\n",my_test_fuction(3,5)); return ( 0 ); } #include<stdio.h&...
简易VM混淆编程--使用C语言源码
lif12345的专栏
07-09 1450
(1)本文提出一种不同寻常的混淆,即类似VMP的一种方法,但本文不提供类似VMP的自动工具 (2)本方法主要用于核心算法区域核心加密函数的混淆 (3)但本方法因没有相关辅助开发工具,需要使用汇编的方式 首先,我们写2篇代码,实现一个基于堆栈的虚拟机 #pragma once //首先就是定义各种操作码的值,程序上进行顺序调整就改变了枚举值的值 //此处枚举值不写值,便于调整打乱 ...
走进C/C++函数的名字改编
digi2020的博客
01-10 1482
现在的编程语言中,不同的变量或函数可以用相同的标识符命名,只要它们占据不同的命名空间(通常由模块、类或作用域定义)或有不同的签名(如在函数重载中)时,就可能会出现标识符重名的情况。另外,根据编译器和平台的不同,函数的调用方式在编译为机器代码后也可能使用不同的、专门的调用约定。
C语言代码如何运行的
weixin_56464957的博客
07-17 6178
C语言的代码运行过程以及内存情况
c++ dll编译工具 查看源码
09-06
c dll编译工具是一种可以用来查看和分析动态链接库(DLL)文件源代码的工具。DLL文件是一种包含可执行代码和数据的文件,常见于Windows操作系统中。由于DLL文件是一种二进制文件,我们无法直接阅读和理解其内容。 编译工具可以将二进制文件转换为高级语言(如C语言)的源代码,从而方便我们理解和修改DLL文件的功能。编译工具可以将DLL文件中的函数、变量和数据结构还原为源代码中的函数、变量和数据结构,使我们能够更好地了解和修改程序逻辑。 使用DLL编译工具可以帮助我们进行逆向工程和代码分析。比如,我们可以通过查看DLL文件的源代码来了解其中的算法和数据结构,从而分析其功能和漏洞。在某些情况下,我们还可以根据DLL文件的源代码进行修改和优化,以满足特定需求。 然而,需要注意的是,虽然DLL编译工具能够将二进制文件转换为源代码,但是转换的结果可能并不完全准确和完整。由于编译器优化、代码混淆等原因,编译的源代码可能存在一些误差和不明确之处。因此,在使用DLL编译工具时,我们需要谨慎对待其输出结果,并结合其他分析方法进行综合判断和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值