deflat 脚本学习【去除OLLVM混淆】#

最新推荐文章于 2024-06-08 10:06:38 发布
最新推荐文章于 2024-06-08 10:06:38 发布
阅读量513 收藏 1
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41146932/article/details/131996145
版权

deflat脚本链接:GitHub - cq674350529/deflat: use angr to deobfuscation

deflat 脚本测试

这里以代码混淆与反混淆学习-第一弹中的OLLVM 混淆样本为例进行去除。【LLVM-4.0】

控制流平坦前控制流平坦后

image

image

python deflat.py --file main-bcf --addr 0x401180

image

image

deflat.py 成功去除后效果:

去混淆后,效果还算可以,能分析程序流程了。

deflat 脚本分析【angr】

利用符号执行去除控制流平坦化 - 博客 - 腾讯安全应急响应中心 (tencent.com)

angr documentation

利用angr符号执行去除控制流平坦化 - 0x401RevTrain-Tools (bluesadi.github.io)

image

  • 序言:函数的第一个执行的基本块
  • 主(子)分发器:控制程序跳转到下一个待执行的基本块
  • retn块:函数出口
  • 真实块:混淆前的基本块,程序真正执行工作的版块
  • 预处理器:跳转到主分发器

如第一弹中分析:OLLVM 的控制流平坦化是将程序的一般逻辑划分为很多个真实执行的块,然后通过分发器进行链接。其实就是一个Switch结构,每次执行完真实块后,进行预处理,再跳转到主分发器,继续分发,最终达到平坦化的效果。

显然,去控制流平坦化就是要找到真实块间的跳转逻辑,打破Switch结构束缚。

具体来说,有如下步骤:

  1. 静态分析CFG得到序言/入口块、主分发器、子分发器/无用块、真实块、预分发器和返回块。
  2. 利用符号执行恢复真实块的前后关系,重建控制流
  3. 根据第二步重建的控制流Patch程序,输出恢复后的可执行文件
静态分析

首先明确:【以下结论针对OLLVM项目,其他大佬加料的OLLVM混淆还需要单独分析】

  1. 函数的开始地址为序言的地址
  2. 序言的后继为主分发器
  3. 后继为主分发器的块为预处理器
  4. 后继为预处理器的块为真实块
  5. 无后继的块为retn块
  6. 剩下的为无用块

angr 获取类似Ida的 CFG

image

获取真实块、主分发器、预处理器、序言、retn块和无用块

image

获取真实块的细节

image

angr 恢复真实块执行逻辑,重建控制流

利用angr 强大的符号执行功能,找到各真实块的连接逻辑。

image

这里对于两个分支的模拟执行,只需关注cmov指令,就可以分别对应得到eax、ecx,然后获得后续真实块。【局限性很大】

image

符号执行 symbolic_execution()函数,返回后继真实块。

image

Patch程序恢复执行逻辑

image

如此便完成了 deflat脚本的简单处理分析。

小结

分析下来,其实就是定位到所有真实块,然后利用angr符号执行将真实块间的执行逻辑进行串联。最后进行patch程序,重建控制流。

但显然存在一些问题,我们默认了如下规则:

  1. 函数的开始地址为序言的地址
  2. 序言的后继为主分发器
  3. 后继为主分发器的块为预处理器
  4. 后继为预处理器的块为真实块
  5. 无后继的块为retn块
  6. 剩下的为无用块

但是在实际去除控制流平坦化过程中,上面的默认思路已经被加混淆的开发者做了处理。

例如:

  • 后继为预处理器的块不一定是真实块;
  • 预处理器不一定存在;
  • 存在分支的真实块跳转的判断逻辑,不一定是cmov指令;
  • deflat脚本默认模拟执行最多两个分支,但真实情况可能不只两个分支;
  • 可能存在一个向前更新的数组,依据程序运行进行更新,决定当前真实块的跳转【这导致angr对于该块的模拟执行得不到正确的跳转】
  • 程序在加混淆前,已经被添加了花指令或其他处理,程序CFG图已经被打破;
  • 某个块存在死循环,会使angr符号执行卡死……

这也导致了,这个deflat脚本的普适性较低,除了能够处理OLLVM官方项目做的混淆,对加了其他PASS或者处理的混淆,基本用不了。

所以对于去除不了的OLLVM混淆,我们需要根据程序的实际混淆效果,对deflat脚本进行修改,再进行去混淆。

【这也要求对deflat 脚本比较熟悉,可以更快上手】

失败的花指令控制流平坦化尝试

源代码如下:

image

# clang 执行内联汇编加 -fasm-blocks 或者 -fms-extensions 或者 -masm=intel

clang -mllvm -fla -mllvm -split -mllvm -split_num=3 main-call-加花.cpp -lm -fasm-blocks -o main-call-加花

# 需要对源代码作一些修改

存在较大的问题,我的OLLVM 环境是在Ubuntu上搭建的,对于上述内联汇编加的花指令无法编译通过!

【或许可以在Windows 上移植OLLVM,进行编译(好像挺难的)

image

可以看到,花指令用到的标签、$ 出现报错。

【最终也没解决编译问题,或许本就不可以,ollvm 不具备这样的处理能力,也可能是我代码的问题,如果博客前的你有任何想法,欢迎与我交流

TSCTF-J 2022-upx_revenge实战分析

TSCTF-J 2022 WP

upx_revenge题目进行分析。

image

首先直接使用deflat 脚本。

python deflat.py --file upx_revenge_test --addr 0x4016D0

image

发现没有找到retn 块。

处理多个retn块

回到ida 查看cfg 图发现原因:存在其他的退出块。

image

这里需要改进deflat 脚本,使其存在很多retn块。

# 其他位置的retn_node,对应改为list处理
if supergraph.out_degree(node) == 0:
            retn_node.append(node)

image

成功运行,但是去除效果不行。

去除后CFG图

image

多个comv的处理

很明显看出,程序的真实块间的逻辑串联失败,也就是重建控制流失败。

image

产生原因

image

image

显然,这里存在2个分支,因为有两个cmov【相同判断】,并且call 函数,对分支跳转是有作用的,这里var_CC是顺序执行,动态更新的。

【deflat 脚本只处理了执行有一个cmov指令的情况,且hook了call函数】

【由于var_CC是顺序执行,动态更新也可以看出,deflat 脚本的模拟执行思路已经无法对真实块的后继进行确定了】

但这里做个测试,不hook call 看是什么效果。

image

可以知道,取消hook call 对真实块后继的查找毫无影响,这是因为deflat中的模拟执行,只是基于comv 处的模拟。对前文并无任何关联。

显然,该deflat脚本的无法处理了。【】

总结

angr

upx_revenge 这道题而言,

deflat 脚本中angr 对局部的模拟执行显然无法获取真实块间的执行顺序,重建控制流显然也无从谈起。当然静态查找各个控制流平坦化的功能块效果还是可以的。

那么如何通过angr,有序的、联系上文地进行模拟执行,获取真实块的执行逻辑,显然是关键点!

qq_41146932
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
混淆技术研究-OLLVM混淆-虚假控制流(BCF)
Tasfa的博客
09-10 7085
虚假控制流(BCF, Bogus Control Flow),该方法通过在当前基本块之前添加一个基本块来修改函数调用图。这个新的基本块包含一个不透明谓词,然后进行条件跳转到原始基本块。并且原始基本块也被克隆,并填充了随机选择的垃圾指令。
Frida和IDA分析OLLVM控制流程平坦化
小龙在线
01-12 2576
简介:https://github.com/obfuscator-llvm/obfuscator/wiki/Control-Flow-Flattening 特征:常量很多,用来根据常量跳转到正确的位置。 分析控制流程平坦化,主要是分析交叉引用,有两种方法,一种从输入参数开始分析交叉引用,一种是从输出结果分析交叉引用。 ...
去除控制流平坦化的工具deflat.py安装及使用
m0_49936845的博客
07-22 939
首先deflat.py需要一个库angr的支持,angr对python27较兼容,这里使用python27进行安装 安装angr: 方法1:(没有试验过) 使用pycharm中的安装库直接安装 方法2:
CTF逆向-[SUCTF2019]hardcpp-使用优化过的deflat.py处理混淆的控制流并将cpp的lambda解析得到实际处理逻辑
serfend's blog
04-29 2186
CTF逆向-[SUCTF2019]hardcpp-使用优化过的deflat.py处理混淆的控制流并将cpp的lambda解析得到实际处理逻辑 来源:https://buuoj.cn/ 内容: 附件:链接:https://pan.baidu.com/s/17OePBZh7Mvv9neqnh-Sv2g?pwd=d6kg 提取码:d6kg 答案:#flag{mY-CurR1ed_Fns} 总体思路 发现混淆的执行流,使用原版的处理不太成功,处理后少了很多信息 使用优化版的进行处理得到混淆少得多的代码 逐个点开l
探秘deobf:简化逆向工程的LLVM混淆清除器
最新发布
gitblog_00046的博客
06-08 525
探秘deobf:简化逆向工程的LLVM混淆清除器 项目地址:https://gitcode.com/maiyao1988/deobf 在安全研究和软件分析的深邃森林中,deobf犹如一盏明灯,照亮了对抗复杂代码混淆的道路。对于那些被LLVM类似编译器如FLA重重迷雾包围的代码,deobf是首个实验性的解混淆工具,旨在为开发者与安全研究人员打开一扇窗,让逆向工程变得不再望而却步。 项目技术分析 de...
推荐开源项目:Deflat - 轻量级数据压缩库
gitblog_00009的博客
04-18 360
推荐开源项目:Deflat - 轻量级数据压缩库 项目地址:https://gitcode.com/cq674350529/deflat 项目简介 Deflat是一个小型、高效的C++数据压缩库,它的设计目标是提供轻量级的数据压缩解决方案,适用于嵌入式系统或对内存和CPU资源有限的环境。该项目由cq674350529在GitCode上开源,通过LZ77(最长匹配滑动窗口)算法实现数据的压缩与解压...
deflate.rar_Deflate
07-15
Functions to compress according to the DEFLATE specification, using the squeeze LZ77 compression backend.
ppp_deflate.rar_Deflate_decompression
09-21
ppp_deflate.c - interface the zlib procedures for Deflate compression and decompression (as used by gzip) to the PPP code.
专用解包Vb脚本.zip
01-30
VB脚本(Visual Basic Script)是一种轻量级的、基于事件驱动的编程语言,由微软公司开发,主要用于简化Windows操作系统的交互式任务。在IT领域,VB脚本常常被用于自动化任务、网页交互以及系统管理等方面。"专用...
大学生逃课心理研究deflate学习教案.pptx
11-20
1. **大学生逃课心理**:逃课现象在大学校园内普遍存在的事实,反映出大学生在面对学习和自由选择之间的复杂心理。部分学生认为逃课是大学生活的一部分,甚至视其为自由的象征,反映出他们追求个性化和自主性的需求...
C#实现页面GZip或Deflate压缩的方法
09-03
对于Deflate,我们添加“deflate”。 以下是一个简单的示例代码片段,展示了如何使用这两个类进行压缩: ```csharp using System.IO; using System.IO.Compression; // ... if (acceptEncoding.Contains("gzip")...
混淆技术研究-OLLVM混淆-控制流平坦化(FLA)
Tasfa的博客
09-10 769
控制流平坦化通过将程序中的条件分支语句转化为等价的平铺控制流来实现。通常,这包括将原始的分支语句(如if语句、switch语句)中的每个分支提取出来,并将它们放置在一系列连续的基本块中,然后使用一个状态变量或标志来选择要执行的基本块。这样,原本嵌套的条件分支结构就被展开成了一个扁平的基本块序列。
去平坦化学习及环境安装踩坑过程
weixin_43781139的博客
10-17 753
逆向学习-去平坦化
OLLVM环境搭建-Ubuntu20.04
megaparsec
09-06 4163
早在1997年,学术界就开始了代码混淆的研究。目前使用最广泛的混淆分类方式是Collberg于1997年针对JAVA程序的安全问题提出的。布局混淆、预防性混淆、数据混淆、控制混淆。布局混淆指删除或修改源代码中的对攻击者由于的信息,如变量名、调试信息等。显然,布局混淆在二进制代码混淆中可以忽略不计。预防性混淆指预先针对特定的反编译工具,解混淆方法进行防备。
C++异常处理控制流下的OLLVM混淆
轻松学C语言
10-10 4643
点击蓝字关注我们来源于网络,侵删Inflated!!!C++异常化处理OLLVM-控制流平坦化Two PuzzlesException一般碰到C++异常逆向,确定了异常分发、处理部分,直接把call throw改为jmp catch块,再F5即可。PS: 多个catch块根据rdx来当为异常处理数值决定哪个为对应的catch块。关于以上,这篇讲的很详细:https://4nsw3r.top/202...
解决ollvm字符串混淆的几种方法
blind cat
03-02 2426
手动还原 应用运行,dump so unicron 执行 uEmu
【iOS逆向与安全】使用ollvm混淆你的源码_
Innocence_0的博客
10-18 617
简单的入门文章,希望能帮助到你。最后给大家准备了一份大礼包!
OLLVM混淆环境搭建与去平坦化
DD5001的博客
01-15 2151
LLVM(Low Level Virtual Machine)是一个开源的编译器基础架构,它包含了一组模块化、可重用的编译器和工具,支持多种编程语言和目标架构,包括x86、ARM和MIPS等。LLVM的核心思想是将编译器分为前端和后端两个部分,前端负责将源代码转换为中间表示(IR),后端负责将中间表示转换为目标机器的汇编代码。这种设计使得LLVM可以支持多种编程语言,因为只需要为每种语言编写一个前端,就可以利用后端的通用性支持多种目标架构。
【iOS逆向与安全】使用ollvm混淆你的源码
yinjiyufei的博客
04-15 2339
【iOS逆向与安全】使用ollvm混淆你的源码
C # Deflate算法
05-28
在C#中,可以使用`System.IO.Compression`命名空间提供的`DeflateStream`类来使用Deflate算法进行压缩。 以下是一个简单的示例代码: ```csharp using System.IO.Compression; // 要压缩的数据 byte[] data = Encoding.UTF8.GetBytes("hello world"); // 定义一个内存流,用于存储压缩后的数据 using (MemoryStream compressedStream = new MemoryStream()) { // 创建一个Deflate压缩流,并将其与内存流连接起来 using (DeflateStream deflateStream = new DeflateStream(compressedStream, CompressionMode.Compress)) { // 将数据写入压缩流中 deflateStream.Write(data, 0, data.Length); } // 获取压缩后的数据 byte[] compressedData = compressedStream.ToArray(); // 输出压缩后的数据 Console.WriteLine(Convert.ToBase64String(compressedData)); } ``` 在上面的代码中,我们使用`MemoryStream`类创建了一个内存流,用于存储压缩后的数据。然后,我们创建了一个`DeflateStream`对象,并将其与内存流连接起来。在将要压缩的数据写入该压缩流后,我们从内存流中获取了压缩后的数据,并将其转换成了Base64字符串进行输出。 需要注意的是,`DeflateStream`类实际上是对`System.IO.Compression.DeflateStream`类的封装,该类可以使用Deflate算法进行压缩和解压缩操作。如果要进行解压缩操作,可以将`CompressionMode.Compress`参数改为`CompressionMode.Decompress`。例如: ```csharp using System.IO.Compression; // 要解压缩的数据 byte[] compressedData = Convert.FromBase64String("eJxLTEo2sDEyNDK3MjQ2MzQ2MjQzNTMwMjLEykzRyy9Kz0ktAgA5qCWg="); // 定义一个内存流,用于存储解压缩后的数据 using (MemoryStream decompressedStream = new MemoryStream()) { // 创建一个Deflate解压缩流,并将其与内存流连接起来 using (DeflateStream deflateStream = new DeflateStream(new MemoryStream(compressedData), CompressionMode.Decompress)) { // 将解压缩后的数据写入内存流中 deflateStream.CopyTo(decompressedStream); } // 获取解压缩后的数据 byte[] decompressedData = decompressedStream.ToArray(); // 输出解压缩后的数据 Console.WriteLine(Encoding.UTF8.GetString(decompressedData)); } ``` 在上面的代码中,我们创建了一个`DeflateStream`对象,并将其与一个内存流连接起来,用于进行解压缩操作。在将要解压缩的数据写入该压缩流后,我们使用`CopyTo()`方法将解压缩后的数据写入内存流中,并获取了解压缩后的数据,并使用`Encoding.UTF8.GetString()`方法将其转换成字符串进行输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_41146932

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值