混淆技术研究-OLLVM混淆-控制流平坦化(FLA)

已于 2023-09-28 15:19:33 修改
阅读量769 收藏 5
点赞数
分类专栏: 混淆技术研究 文章标签: ollvm混淆 Android逆向 代码混淆 IDA
于 2023-09-10 22:25:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30135181/article/details/132796599
版权

简介

控制流平坦化通过将程序中的条件分支语句转化为等价的平铺控制流来实现。通常,这包括将原始的分支语句(如if语句、switch语句)中的每个分支提取出来,并将它们放置在一系列连续的基本块中,然后使用一个状态变量或标志来选择要执行的基本块。这样,原本嵌套的条件分支结构就被展开成了一个扁平的基本块序列。

原理

具体来说,控制流平坦化的过程如下:

  1. 将原始的条件分支语句(如if语句)拆分为独立的基本块。
  2. 将这些基本块按照一定的顺序排列在一起,形成一个新的程序流程。
  3. 引入一个控制变量或标志,用于表示当前应该执行的基本块。
  4. 在程序中插入条件语句或跳转指令,根据控制变量或标志来选择执行哪个基本块。
  5. 在每个基本块末尾设置控制变量或标志的值,以确定下一个要执行的基本块。
  • 函数的开始地址为序言的地址
  • 序言的后继为主分发器
  • 后继为主分发器的块为预处理器
  • 后继为预处理器的块为真实块
  • 无后继的块为retn块
  • 剩下的为无用块

反混淆思路

  1. 如何识别出通用FLA混淆
    在这里插入图片描述
    或者借用bird的一张图
    在这里插入图片描述

实战

  • 利用angr去除FLA控制流混淆
    1. 构建出所有的blocks,并找出对应块之间的关系。目的: 找出真实块
    2. 符号执行,遍历所有blocks,并映射关系。 目的: 找出真实块的执行顺序
    3. 利用跳转指令/nop等patch程序。 目的: 还原控制流混淆
  • 代码参考
def symbolic_execution(project, relevant_block_addrs, start_addr, hook_addrs=None, modify_value=None, inspect=False):

    def retn_procedure(state):
        ip = state.solver.eval(state.regs.ip)
        project.unhook(ip)
        return

    def statement_inspect(state):
        expressions = list(
            state.scratch.irsb.statements[state.inspect.statement].expressions)
        if len(expressions) != 0 and isinstance(expressions[0], pyvex.expr.ITE):
            state.scratch.temps[expressions[0].cond.tmp] = modify_value
            state.inspect._breakpoints['statement'] = []

    if hook_addrs is not None:
        skip_length = 4
        if project.arch.name in ARCH_X86:
            skip_length = 5

        for hook_addr in hook_addrs:
            project.hook(hook_addr, retn_procedure, length=skip_length)

    state = project.factory.blank_state(addr=start_addr, remove_options={
                                        angr.sim_options.LAZY_SOLVES})
    if inspect:
        state.inspect.b(
            'statement', when=angr.state_plugins.inspect.BP_BEFORE, action=statement_inspect)
    sm = project.factory.simulation_manager(state)
    sm.step()
    while len(sm.active) > 0:
        for active_state in sm.active:
            if active_state.addr in relevant_block_addrs:
                return active_state.addr
        sm.step()

    return None


class FLAPass(object):
    """docstring for FLAPass"""
    def __init__(self, project):
        super(FLAPass, self).__init__()
        self.project = project
        self.target_function_supergraph = None

    def __fla_build_blocks(self):
        """ 流程图 https://security.tencent.com/uploadimg_dir/201701/b6d9662e5a216ac6e7a976dd8d814a79.png
            1. 函数的开始地址为序言的地址
            2. 序言的后继为主分发器
            3. 后继为主分发器的块为预处理器
            4. 后继为预处理器的块为真实块
            5. 无后继的块为retn块
            6. 剩下的为无用块
        """
        # 序言/返回块(retn)
        prologue_node = None
        for node in self.target_function_supergraph.nodes():
            if self.target_function_supergraph.in_degree(node) == 0:
                prologue_node = node
            if self.target_function_supergraph.out_degree(node) == 0:
                retn_node = node
        assert prologue_node is not None,"prologue node is None."
        assert prologue_node.addr == self.target_function_real_start_address,"[__build_flg_blocks] error:prologue node:0x{:08x}, fun start:0x{:08x}".format(prologue_node.addr,self.target_function_real_start_address)
        
        # 主分发器/预处理器
        pre_dispatcher_node = None
        main_dispatcher_node = list(self.target_function_supergraph.successors(prologue_node))[0]
        for node in self.target_function_supergraph.predecessors(main_dispatcher_node):
            print(node.addr,prologue_node.addr)
            if node.addr != prologue_node.addr:
                pre_dispatcher_node = node
                break
        print(pre_dispatcher_node)
        assert pre_dispatcher_node is not None,"predispatcher node is None."

        # 真实块/空白块
        relevant_nodes,self.nop_nodes = [],[]
        for node in self.target_function_supergraph.nodes():
            if self.target_function_supergraph.has_edge(node, pre_dispatcher_node) and node.size > 8:
                # XXX: use node.size is faster than to create a block 
                relevant_nodes.append(node)
                continue
            if node.addr in (prologue_node.addr, retn_node.addr, pre_dispatcher_node.addr):
                continue
            self.nop_nodes.append(node)

        if self.is_debug:
            print('*******************fla relevant blocks************************')
            print('prologue: %#x' % prologue_node.addr)
            print('main_dispatcher: %#x' % main_dispatcher_node.addr)
            print('pre_dispatcher: %#x' % pre_dispatcher_node.addr)
            print('retn: %#x' % retn_node.addr)
            self.relevant_block_addrs = [node.addr for node in relevant_nodes]
            print('relevant_blocks:', [hex(addr) for addr in self.relevant_block_addrs])

        self.relevants = relevant_nodes
        self.relevants.append(prologue_node)
        self.relevants_without_retn = list(self.relevants)
        self.relevants.append(retn_node)
        self.relevant_block_addrs.extend([prologue_node.addr, retn_node.addr])

    def __fla_symbolic_exec(self):
        self.flow = defaultdict(list)
        self.patch_instrs = {}
        for relevant in self.relevants_without_retn:
            print('-------------------dse %#x---------------------' % relevant.addr)
            block = self.project.factory.block(relevant.addr, size=relevant.size)
            has_branches = False
            hook_addrs = set([])
            for ins in block.capstone.insns:
                if self.project.arch.name in ARCH_X86:
                    if ins.insn.mnemonic.startswith('cmov'):
                        # only record the first one
                        if relevant not in self.patch_instrs:
                            self.patch_instrs[relevant] = ins
                            has_branches = True
                    elif ins.insn.mnemonic.startswith('call'):
                        hook_addrs.add(ins.insn.address)
                elif self.project.arch.name in ARCH_ARM:
                    if ins.insn.mnemonic != 'mov' and ins.insn.mnemonic.startswith('mov'):
                        if relevant not in self.patch_instrs:
                            self.patch_instrs[relevant] = ins
                            has_branches = True
                    elif ins.insn.mnemonic in {'bl', 'blx'}:
                        hook_addrs.add(ins.insn.address)
                elif self.project.arch.name in ARCH_ARM64:
                    if ins.insn.mnemonic.startswith('cset'):
                        if relevant not in self.patch_instrs:
                            self.patch_instrs[relevant] = ins
                            has_branches = True
                    elif ins.insn.mnemonic in {'bl', 'blr'}:
                        hook_addrs.add(ins.insn.address)

            if has_branches:
                tmp_addr = symbolic_execution(self.project, self.relevant_block_addrs,
                                                         relevant.addr, hook_addrs, claripy.BVV(1, 1), True)
                if tmp_addr is not None:
                    self.flow[relevant].append(tmp_addr)
                tmp_addr = symbolic_execution(self.project, self.relevant_block_addrs,
                                                         relevant.addr, hook_addrs, claripy.BVV(0, 1), True)
                if tmp_addr is not None:
                    self.flow[relevant].append(tmp_addr)
            else:
                tmp_addr = symbolic_execution(self.project, self.relevant_block_addrs,
                                                         relevant.addr, hook_addrs)
                if tmp_addr is not None:
                    self.flow[relevant].append(tmp_addr)
        if self.is_debug:
            print('************************flow******************************')
            for k, v in self.flow.items():
                print('%#x: ' % k.addr, [hex(child) for child in v])

    def __fla_patch(self):
        print("[*] start fla patch...")
        # patch irrelevant blocks
        for nop_node in self.nop_nodes:
            fill_nop(self.origin_data, nop_node.addr-self.so_base_address,
                     nop_node.size, self.project.arch)

        # remove unnecessary control flows
        for parent, childs in self.flow.items():
            if len(childs) == 1:
                parent_block = self.project.factory.block(parent.addr, size=parent.size)
                last_instr = parent_block.capstone.insns[-1]
                file_offset = last_instr.address - self.so_base_address
                # patch the last instruction to jmp
                if self.project.arch.name in ARCH_X86:
                    fill_nop(self.origin_data, file_offset,
                             last_instr.size, self.project.arch)
                    patch_value = ins_j_jmp_hex_x86(last_instr.address, childs[0], 'jmp')
                elif self.project.arch.name in ARCH_ARM:
                    patch_value = ins_b_jmp_hex_arm(last_instr.address, childs[0], 'b')
                    if self.project.arch.memory_endness == "Iend_BE":
                        patch_value = patch_value[::-1]
                elif self.project.arch.name in ARCH_ARM64:
                    # FIXME: For aarch64/arm64, the last instruction of prologue seems useful in some cases, so patch the next instruction instead.
                    if parent.addr == self.target_function_real_start_address:
                        file_offset += 4
                        patch_value = ins_b_jmp_hex_arm64(last_instr.address+4, childs[0], 'b')
                    else:
                        patch_value = ins_b_jmp_hex_arm64(last_instr.address, childs[0], 'b')
                    if self.project.arch.memory_endness == "Iend_BE":
                        patch_value = patch_value[::-1]
                patch_instruction(self.origin_data, file_offset, patch_value)
            else:
                instr = self.patch_instrs[parent]
                file_offset = instr.address - self.so_base_address
                # patch instructions starting from `cmovx` to the end of block
                fill_nop(self.origin_data, file_offset, parent.addr +
                         parent.size - self.so_base_address - file_offset, self.project.arch)
                if self.project.arch.name in ARCH_X86:
                    # patch the cmovx instruction to jx instruction
                    patch_value = ins_j_jmp_hex_x86(instr.address, childs[0], instr.mnemonic[len('cmov'):])
                    patch_instruction(self.origin_data, file_offset, patch_value)

                    file_offset += 6
                    # patch the next instruction to jmp instrcution
                    patch_value = ins_j_jmp_hex_x86(instr.address+6, childs[1], 'jmp')
                    patch_instruction(self.origin_data, file_offset, patch_value)
                elif self.project.arch.name in ARCH_ARM:
                    # patch the movx instruction to bx instruction
                    bx_cond = 'b' + instr.mnemonic[len('mov'):]
                    patch_value = ins_b_jmp_hex_arm(instr.address, childs[0], bx_cond)
                    if self.project.arch.memory_endness == 'Iend_BE':
                        patch_value = patch_value[::-1]
                    patch_instruction(self.origin_data, file_offset, patch_value)

                    file_offset += 4
                    # patch the next instruction to b instrcution
                    patch_value = ins_b_jmp_hex_arm(instr.address+4, childs[1], 'b')
                    if self.project.arch.memory_endness == 'Iend_BE':
                        patch_value = patch_value[::-1]
                    patch_instruction(self.origin_data, file_offset, patch_value)
                elif self.project.arch.name in ARCH_ARM64:
                    # patch the cset.xx instruction to bx instruction
                    bx_cond = instr.op_str.split(',')[-1].strip()
                    patch_value = ins_b_jmp_hex_arm64(instr.address, childs[0], bx_cond)
                    if self.project.arch.memory_endness == 'Iend_BE':
                        patch_value = patch_value[::-1]
                    patch_instruction(self.origin_data, file_offset, patch_value)

                    file_offset += 4
                    # patch the next instruction to b instruction
                    patch_value = ins_b_jmp_hex_arm64(instr.address+4, childs[1], 'b')
                    if self.project.arch.memory_endness == 'Iend_BE':
                        patch_value = patch_value[::-1]
                    patch_instruction(self.origin_data, file_offset, patch_value)

        assert len(self.origin_data) == self.origin_data_len, "Error: size of data changed!!!"    
        print("[*] fla patch end...")

参考

Tasfa
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跟着铁头干混淆4.1 ollvm控制流平坦基本概念
qq_37507251的博客
09-04 633
ollvm 4.1 控制流平坦基本概念 控制流平坦基本概念 编译器参数:-mllvm -fla 英文全称 简称 编译参数 控制流平坦 Control Flow Flattening fla -mllvm -fla 大家好,我是王铁头 一个乙方安全公司搬砖的菜鸡 持续更新移动安全,iot安全,编译原理相关原创视频文章 视频演示:https://space.bilibili.com/430241559 第1个例子 简单小程序: c++源码 #include <cstdio&gt
初识ollvm控制流平坦
weixin_42545308的博客
10-26 945
app:B站, 版本:随便搞了个最新版 目标:分析sign算法 1. 算法定位 B站的java层定位并不难找,直接搜索大法即可定位到生成sign的native函数。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编
解释控制流平坦
weixin_35756690的博客
12-21 293
控制流平坦是一种程序优技术,目的是将复杂的控制流程(如循环、分支和函数调用)转为简单的顺序执行流程,以提高程序的执行效率。 举个例子,假设有一段代码如下: if (x >0) { y = 1; } else { y = -1; } z = y * y; 这段代码中有一个 if-else 语句,它根据 x 的值决定 y 的值。如果 x 大于 0,y 就变成 1,否则 y 就变...
【转载】基于LLVM Pass实现控制流平坦
ronnie88597的博客
03-01 1100
基于LLVM Pass实现控制流平坦 文章目录基于LLVM Pass实现控制流平坦0x00. 什么是LLVMLLVM Pass0x01. 首先写一个能跑起来的LLVM Pass0x02. 控制流平坦的基本思想和实现思路0x03. 基于LLVM Pass实现控制流平坦0x04. 混淆效果测试 转载:https://mp.weixin.qq.com/s/FD5YRurcLGh_VlV9GlWB8w 提到代码混淆时,我首先想到的是著名的代码混淆工具OLLVM。OLLVM(Obfuscator-LLV
安洵杯——game(混淆控制流平坦
寻梦&之璐
04-04 2909
文章目录查壳拖进idamain函数分析general_inspection((int (*)[9])sudoku)blank_num((int (*)[9])sudoku)代码第一步第二步第三步第四步第五步总结trace(sudoku, v5, v4);代码第一步第二步第三步:第四步第五步第六步第七步(第五步的第二种情况)总结check(int (*a1)[9])代码check1(char *a1)代码check3(char *a1)代码check2(char *a1)代码 查壳 拖进ida main函数
控制流平坦学习
szxpck的博客
07-14 4398
控制流平坦是OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制流和指令替换,这3种保护方式可以累加,对于静态分析来说混淆代码非常复杂。 控制流平坦的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行流程。 例如一个常见的if-else分支结构的程序可以是这样: 经过控制流平坦之后,得到了一个相当规整的流程图: 控制流平坦代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。 混
OLLVM控制流平坦源码分析+魔改
寻梦&之璐
07-07 2017
需要把vertor里面的第一个基本块即入口基本块单独拿出来进行处理:对入口基本块进行判断,如果是无条件跳转则不进行任何处理,否则需要找到最后一条指令,将整个if结构给split,Module是指模块,Function模块下的函数,BasicBlock函数下的基本块,Instruction 基本块下的IR指令。创建一个switch指令,位置是在loopentry基本块下,且创建了0个case,然后设置了条件为load,就上面的load。紧接着创建一个基本块,然后在基本块里面创建一个跳转指令,
FLA-502说明书(含通信协议).docx
11-17
FLA-502汽车排气分析仪是一款先进的设备,用于检测汽车尾气中的有害气体成分,包括HC(碳氢合物)、CO(一氧碳)、CO2(二氧碳)以及O2(氧气)和NO(氮氧物)。这款仪器采用国际领先的进口红外检测器,确保...
ndk-r17b编译及使用ollvm-tti步骤(提供编译后文件)
02-27
LOCAL_CFLAGS := -mllvm -sub -mllvm -bcf -mllvm -fla -mllvm -sobf 四、编译后文件下载地址(文件太大上传不了,上传至网盘了) 1.备份NDK_PATH/toolchains/llvm目录 2.删除NDK_PATH/toolchains/llvm/prebuilt...
Laravel开发-fla-core
08-28
`fla-core` 提供了一系列自定义中间件,这些中间件可强 Laravel 的路由保护、权限控制和日志记录等功能。例如,可能包含一个用于验证用户身份的中间件,以及一个用于记录请求详情的中间件。通过合理利用这些中间件...
[.NET] 超难控制流混淆UnpackMe
11-12
[.NET] 超难控制流混淆UnpackMe[.NET] 超难控制流混淆UnpackMe
运用长周期光纤光栅实现EDFA的增益平坦
02-11
针对Perilli公司生产的OP-980型掺铒光纤放大器(EDFA)的增益谱不平坦特性,运用紫外写入的方法研制成使其增益平坦的长周期光纤光栅增益平坦器件,实现了该掺铒光纤放大器在30nm范围内的增益谱波动小于±0.4dB.
Flash全屏时钟-圆形电子钟fla源文件.rar
07-10
一款漂亮Flash全屏时钟-圆形电子钟源文件,含fla文件,这是一个flash时间显示特效,运行后自动获取Windows时间,可看到时针、分针、秒针都在跟随时间走动,设计精美,很有质感,而且是氏量绘图技术设计的作品,动画...
AST混淆实战|仿obfuscator混淆控制流平坦(超详细版)
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
09-16 1558
之前写过一篇这样的文章 :JavaScript 代码混淆实战(六):仿obfuscator混淆控制流平坦,但并没有写过程,在这篇文章里面说明下!依然以文章里的代码来说明怎么进行控制流平...
用angr去除o-llvm控制流平坦
liumengdeqq的专栏
01-02 2516
更改这篇文章中最新版本的bug https://security.tencent.com/index.php/blog/msg/112 和补充这篇文章的环境搭建    1.配置mac中docker环境      (1)下载 https://download.docker.com/mac/stable/Docker.dmg      (2)可以按照这篇文章中传mac到docker文件 http
某酷ckey签名生成算法系列--(三)ast代码控制流平坦
zjq592767809的博客
12-26 1480
某酷ckey签名生成算法系列--(三)ast代码控制流平坦 观察三个switch的值分别是Ci、mi和Ai。而这三个值又因为li的确定而确定的。也就是说已知li的值,就可以分别计算出Ci、mi和Ai,就可以确定执行的是哪一条语句。那么反过来,如果已知Ci、mi和Ai三个值,也可以反向计算出li的值了。 那么按照这个思路。就可以把多重的case的值计算出其对应最上一层的值,变成最简单的switch结构,形如下面 ******省略代码****** for (var li = 16996; void 0 !=
buu-[RoarCTF2019]polyre(控制流平坦,虚假控制流程)
weixin_52369224的博客
01-16 2907
这题一开始拿到人看麻了(不会),写篇wp记录新题型 这么一大大大串的函数图,是经过OLLVM控制流平坦混肴. 控制流平坦(Control Flow Flattening)的基本思想主要是通过一个主分发器来控制程序基本块的执行流程,例如下图是正常的执行流程: 经过控制流平坦后的执行流程就如下图: 混淆代码块之间的逻辑,将其之前的逻辑混肴成switch嵌套循环,增加分析难度。 下面我们需要使用 angr符号执行去除控制流平坦 环境ubuntu20.4defalt.py脚本..
利用AST对抗js混淆(三) 控制流平坦(Control Flow Flattening)的处理
lacoucou的专栏
02-23 5118
控制流平坦 本文主要分享了两个控制流平坦的例子。
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
最新发布
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡等。这些功能可以帮助用户进行更复杂的图像处理和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值