ollvm源码分析之控制流扁平化(3)

已于 2023-02-22 12:29:06 修改
阅读量785 收藏
点赞数
分类专栏: ollvm 文章标签: c语言
于 2021-03-09 16:45:43 首次发布

参考网站:ollvm源码分析
参考网站:Obufuscator-llvm源码分析

Pass之flattening

实现功能是:增加switch-case语句,使其扁平化。

1 命令

命令解析
-mllvm -fla激活控制流扁平化
-mllvm -split激活基本块划分,提高打平能力
-mllvm -split_num若激活控制流扁平化,对每个基本块应用控制流扁平化的次数

2 代码分析

2.1 入口函数runOnFunction

Flattening继承了FunctionPass,因此它的入口函数即为runOnFunction。

bool Flattening::runOnFunction(Function &F) {
  Function *tmp = &F;
  // Do we obfuscate
  if (toObfuscate(flag, tmp, "fla")) {
    if (flatten(tmp)) {
      ++Flattened;
    }
  }
  return false;
}

toObfuscate函数判断是否启动了fla命令,判断完毕,再调用flatten函数。

2.1 flatten函数
vector<BasicBlock *> origBB;
for (Function::iterator i = f->begin(); i != f->end(); ++i) {
    BasicBlock *tmp = &*i;
    origBB.push_back(tmp);

    BasicBlock *bb = &*i;
    if (isa<InvokeInst>(bb->getTerminator())) {
      return false;
    }
 }
// Nothing to flatten
if (origBB.size() <= 1) {
    return false;
}

// Remove first BB
origBB.erase(origBB.begin());

除了first BB,将所有基本块存储到vector容器origBB中,若origBB中不止一个基本块才进行后续处理。

// Get a pointer on the first BB
Function::iterator tmp = f->begin();  //++tmp;
BasicBlock *insert = &*tmp;
// If main begin with an if
BranchInst *br = NULL;
if (isa<BranchInst>(insert->getTerminator())) {
	br = cast<BranchInst>(insert->getTerminator());
}

if ((br != NULL && br->isConditional()) ||
	insert->getTerminator()->getNumSuccessors() > 1) {
    BasicBlock::iterator i = insert->end();
	--i;

    if (insert->size() > 1) {
      --i;
    }

    BasicBlock *tmpBB = insert->splitBasicBlock(i, "first");
    origBB.insert(origBB.begin(), tmpBB);
}
// Remove jump
insert->getTerminator()->eraseFromParent();

若first BB未尾有条件跳转指令,获取该指令地址。通过splitBasicBlock将该块分为first BB与tmpBB,将tmpBB存储到origBB中。去除第一个基本块与下一个基本块间的跳转关系。

switchVar = new AllocaInst(Type::getInt32Ty(f->getContext()), 0,"switchVar", insert);
new StoreInst(
      ConstantInt::get(Type::getInt32Ty(f->getContext()),
                       llvm::cryptoutils->scramble32(0, scrambling_key)),
      switchVar, insert);

创建switch变量并且初始化。

// Create main loop
  loopEntry = BasicBlock::Create(f->getContext(), "loopEntry", f, insert);
  loopEnd = BasicBlock::Create(f->getContext(), "loopEnd", f, insert);

  load = new LoadInst(switchVar, "switchVar", loopEntry);

  // Move first BB on top
  insert->moveBefore(loopEntry);
  BranchInst::Create(loopEntry, insert);

  // loopEnd jump to loopEntry
  BranchInst::Create(loopEntry, loopEnd);

  BasicBlock *swDefault =
      BasicBlock::Create(f->getContext(), "switchDefault", f, loopEnd);
  BranchInst::Create(loopEnd, swDefault);

  // Create switch instruction itself and set condition
  switchI = SwitchInst::Create(&*f->begin(), swDefault, 0, loopEntry);
  switchI->setCondition(load);

创建两个基本块loopEntry 、loopEnd。将first BB移至loopEntry 前面,创建loopEnd到时loopEntry 的跳转。创建swDefault 块,swDefault跳转到loopEnd,loopEntry 跳转到swDefault。

 f->begin()->getTerminator()->eraseFromParent();

 BranchInst::Create(loopEntry, &*f->begin());

删除first BB的跳转,将first BB跳转至loopEntry。

 // Put all BB in the switch
  for (vector<BasicBlock *>::iterator b = origBB.begin(); b != origBB.end();
       ++b) {
    BasicBlock *i = *b;
    ConstantInt *numCase = NULL;

    // Move the BB inside the switch (only visual, no code logic)
    i->moveBefore(loopEnd);

    // Add case to switch
    numCase = cast<ConstantInt>(ConstantInt::get(
        switchI->getCondition()->getType(),
        llvm::cryptoutils->scramble32(switchI->getNumCases(), scrambling_key)));
    switchI->addCase(numCase, i);
  }

所有基本块加入switch中。

// Recalculate switchVar
  for (vector<BasicBlock *>::iterator b = origBB.begin(); b != origBB.end();
       ++b) {
    BasicBlock *i = *b;
    ConstantInt *numCase = NULL;

    // Ret BB
    if (i->getTerminator()->getNumSuccessors() == 0) {
      continue;
    }

    // If it's a non-conditional jump
    if (i->getTerminator()->getNumSuccessors() == 1) {
      // Get successor and delete terminator
      BasicBlock *succ = i->getTerminator()->getSuccessor(0);
      i->getTerminator()->eraseFromParent();

      // Get next case
      numCase = switchI->findCaseDest(succ);

      // If next case == default case (switchDefault)
      if (numCase == NULL) {
        numCase = cast<ConstantInt>(
            ConstantInt::get(switchI->getCondition()->getType(),
                             llvm::cryptoutils->scramble32(
                                 switchI->getNumCases() - 1, scrambling_key)));
      }

      // Update switchVar and jump to the end of loop
      new StoreInst(numCase, load->getPointerOperand(), i);
      BranchInst::Create(loopEnd, i);
      continue;
    }

    // If it's a conditional jump
    if (i->getTerminator()->getNumSuccessors() == 2) {
      // Get next cases
      ConstantInt *numCaseTrue =
          switchI->findCaseDest(i->getTerminator()->getSuccessor(0));
      ConstantInt *numCaseFalse =
          switchI->findCaseDest(i->getTerminator()->getSuccessor(1));

      // Check if next case == default case (switchDefault)
      if (numCaseTrue == NULL) {
        numCaseTrue = cast<ConstantInt>(
            ConstantInt::get(switchI->getCondition()->getType(),
                             llvm::cryptoutils->scramble32(
                                 switchI->getNumCases() - 1, scrambling_key)));
      }

      if (numCaseFalse == NULL) {
        numCaseFalse = cast<ConstantInt>(
            ConstantInt::get(switchI->getCondition()->getType(),
                             llvm::cryptoutils->scramble32(
                                 switchI->getNumCases() - 1, scrambling_key)));
      }

      // Create a SelectInst
      BranchInst *br = cast<BranchInst>(i->getTerminator());
      SelectInst *sel =
          SelectInst::Create(br->getCondition(), numCaseTrue, numCaseFalse, "",
                             i->getTerminator());

      // Erase terminator
      i->getTerminator()->eraseFromParent();

      // Update switchVar and jump to the end of loop
      new StoreInst(sel, load->getPointerOperand(), i);
      BranchInst::Create(loopEnd, i);
      continue;
    }
  }

修改每个基本块之间的跳转关系,使得每个基本块执行完毕会重新设置switchVar 的值。从而回到switch并顺利跳转到下一个case,直到程序结束。
处理后的基本块间的关系图如下图所示。
在这里插入图片描述

芳芳超人爱学习
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
07-ollvm源码分析
blind cat
02-23 321
在进行控制流程平坦化操作时,实际执行了两个Pass createLowerSwitchPass(); createFlattening(Flattening); 测试代码 最原始的IR entry: %retval = alloca i32, align 4 %argc.addr = alloca i32, align 4 %argv.addr = alloca i8**, align 8 store i32 0, i32* %retval, align 4 store i32 %ar
28套扁平化流行图表免费下载.rar
09-07
时间坐标比例对比,折线图,创意饼形图,指示说明图表,网状节点图,层级递进图表等扁平化彩色流行图表免费下载,共28套,叶兵PPT作品。
基于ImGui的流数据分析与可视化软件源码.zip
11-19
基于ImGui的流数据分析与可视化软件源码.zip主要用于流数据的实时分析与显示。重点专注于两方面:一是数据可视化,通过内置主题提供专业化的绘图功能;二是流分析,通过pipeline组合各种功能模块,对各类动态数据提供在线分析和结果演示。使用 主要分3步: 一是构造pipeline,通过ActionPanel新增provider、operator和renderer节点,在NodeEditor中建立拓扑链接; 二是配置pipeline,选中单个节点,在PropertySheet中进行参数设定,部分参数可也后期调整; 三是运行pipeline,点击主菜单pipeline的start选项,renderer节点会渲染输出。双击节点可查看该节点的即时数据。
Soot的Java程序控制流分析及图形化输出
06-14
Soot是一个Java编译优化框架,可以利用它实现Java字节码程序的数据流分析控制流分析。在深入分析Soot控制流生成机制的基础上,详细叙述了利用Soot分析Java类的控制流并生成其控制流图的方法和过程,同时提出了将Soot生成的抽象的控制流图进行图形化输出的方法。
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
03-10
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
ART世界探险(18) InlineMethod
lusing的专栏
09-12 1462
下面我们正式开始分析InlineMethod将Dalvik字节码转成MIRGraph的过程
LLVM代码混淆分析及逻辑还原
大头蚂蚁的窝
06-02 1628
概述 LLVM Obfuscator是一款工业级别的代码混淆器,在过去几年的CTF里我们经常会遇到经过代码经过它混淆的情况。这片博文记录了我们对混淆器原理的研究以及从中发现的有关混淆器的设计实现的脆弱之处。基于我们的研究结果,我们在Binary Ninja平台上写了一个插件,通过这个插件可以自动化的解决掉由于代码混淆带来的逆向分析困难。 LLVM Obfuscator简介 LLVM Obfuscator是一个基于LLVM框架实现的一个开源代码混淆器,整个项目包含了三个相对独立的LLVM pass, 每
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令
serfend's blog
03-24 4417
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令 来源:BUUCTF在线评测/ 内容:无 附件:百度网盘 请输入提取码 提取码:nyty 答案:flag{6ff29390-6c20-4c56-ba70-a95758e3d1f8} 总体思路 使用deflat.py对程序扁平化处理。 使用ida的python idc工具对多余指令去除。 检查算法发现是crc64,按其流程逆运算 详细步骤 检查文件信息 打开程序发现控..
我的LLVM学习笔记——OLLVM混淆研究之BCF篇
suningning的专栏
11-29 3769
因为要做代码保护,所以抽时间研究了下OLLVM中的三种保护方案:BCF(Bogus Control Flow,中文名虚假控制流)、FLA(Control Flow Flattening,中文名控制流平坦化)、SUB(Instructions Substitution,中文名指令替换),本文是BCF介绍篇。 1,查看BCF的头文件,暴露给外界的两个函数如下: // Namespace name...
android 子module混淆_Python字节码解混淆之反控制流扁平化
weixin_39564386的博客
11-25 301
Python资源共享群:626017123前言 上次打NISCCTF2019留下来的一道题,关于pyc文件逆向,接着这道题把Python Bytecode解混淆相关的知识和工具全部过一遍。同时在已有的基础上进一步创新得到自己的成果,这是下篇,更近一步进行还原混淆过的pyc文件。图表示法 目前可以见到最多的解混淆或者去花指令的手段类似于对于指令的匹配替换,甚至于可以说上一篇中的活跃代码分析也是带执行...
RateLimiter 源码分析
08-29
本文主要对ratelimiter的常用方法以及源码进行了分析解读,具有一定参考价值,需要的朋友可以了解下。
ollvm源码分析 - Pass之SplitBaiscBlocks
小蓝人敌法的专栏
10-17 1035
概述 SplitBasicBlocks是一个llvm体系下的标准Pass风格的代码处理组件,继承自FunctionPass。 根据llvm的官方文档描述,这种Pass只会作用于Function这种粒度,也就是llvm在编译流程里面,只有对单个Function应用Pass逻辑的时候, 才会调用继承自FunctionPass的各种Pass(包括llvm自带的Pass和普通开发人员自定义的Pass...
控制流迷惑——控制流整平
蛛丝
02-24 2397
一、控制流整平的作用    学逆向的人都知道,if-else、while、for具有典型的跳转等结构,即使通过多层嵌套、拓展条件等方法,依然可以通过“切片技术”来判断。有了这些依据,就给程序分析带来很多便利。    正是这个原因,为了增加程序逆向的难度,我们得使得这些特征结构变得模糊,并且能让类似“切片技术”这样基于具体语义分析的方法失效,迫使逆向分析人员进行完整的抽象语义分析,斩断所谓的“捷径”。    控制流整平的策略是这样的,它把所有的典型控制流以及其衍生结构“统而为一”,各种控制流的区别只是语义方面
代码混淆之道——控制流扁平与不透明谓词理论篇
dfdhxb995397的博客
08-17 987
控制流是指代码执行时指令的执行顺序。在各种控制逻辑的作用下,程序会沿着特定的逻辑顺序执行。一般控制逻辑包括有无条件分支、循环、函数调用等。 本文原创作者:i春秋签约作家——penguin_wwy 一、扁平化的定义 本篇讲代码混淆的一个重要手段,控制流扁平化。 所谓控制流是指代码执行时指令的执行顺序。在各种控制逻辑的作用下,程序会沿着特定的逻辑顺序执行。一般控制逻辑包括有\无条件分...
一款JavaScript 混淆(Obfuscator)工具(Tool)的研究(四)花指令和控制流平坦化
lacoucou的专栏
04-12 1439
源代码: // Paste your JavaScript code here function hi() { console.log("Hello World!"); var d = new Date(); var time = d.getHours(); if (time<10) { document.write("<b>早上好</b>")...
【网络安全】ollvm反混淆学习
HBohan的博客
09-23 2791
ollvm原理 Ollvm大致可分为 bcf(虚假块), fla(控制流展开), sub(指令膨胀), Split(基本块分割) bcf: 克隆一个真实块,并随机替换其中的一些指令,然后用一个永远为真的条件建立一个分支。克隆后的块是不会被执行的。 Fla: 将所有的真实块使用一个switch case结构包裹起来,每个真实块执行完毕后都会重新赋值switch var,对于有分支的块会使用select指令,并跳转到switch起始代码块(分发器)上,根据switch var来执行下一个真实块。 Sub: 指令
ollvm源码分析之虚假控制流(2)
qq_42308741的博客
03-09 814
参考网站:Obfuscator-llvm源码分析 参考网站:ollvm源码分析 Pass之BogusControlFlow 实现功能是:添加虚假控制流 1 命令 命令 解析 -mllvm -bcf 激活虚假控制流 -mllvm -bcf_loop 若被激活,应用3次虚假控制流,默认为1 -mllvm -bcf_prob=40 若被激活,基本块的40%被混淆,默认为30% 2 代码分析 2.1 入口函数runOnFunction 继承了FunctionPass,因此它的入口函数即
使用LLVM分析函数CFG
wuhui_gdnt的专栏
08-11 6321
作者:Eli Bendersky http://eli.thegreenplace.net/2013/09/16/analyzing-function-cfgs-with-llvm 在Stack Overflow上,关于LLVM一个常见问题是如何构建一个函数的控制流图(CFG),并对它进行拓扑排序,或者拓扑排序的某些变形。为了节省我将来的回答时间,我认为我应该抛出一篇简明的博文,展示LLVM
静态分析控制流分析工具
最新发布
04-05
静态分析控制流分析工具是一种用于分析程序的工具,它可以在不执行程序的情况下对程序的控制流进行分析。通过静态分析控制流分析工具,我们可以了解程序的执行路径、函数调用关系以及数据流等信息,从而帮助我们理解程序的结构和行为。 以下是一些常见的静态分析控制流分析工具: 1. 静态代码分析工具:例如Pylint、FindBugs、ESLint等,这些工具可以对代码进行静态分析,检查代码中的潜在问题和错误,并提供相应的修复建议。 2. 反汇编工具:例如IDA Pro、Ghidra等,这些工具可以将二进制文件反汇编为汇编代码,并提供控制流图和函数调用图等信息,帮助分析程序的执行路径和函数调用关系。 3. 静态分析框架:例如LLVM、Soot等,这些框架提供了一套完整的静态分析工具链,可以进行高级的静态分析,如符号执行、数据流分析等。 4. 模型检测工具:例如SPIN、CBMC等,这些工具可以对程序进行形式化验证,通过建立模型并进行状态空间搜索,来检测程序中的错误和不变性。 5. 安全漏洞扫描工具:例如Coverity、Fortify等,这些工具可以对代码进行静态分析,检测潜在的安全漏洞和弱点,并提供相应的修复建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值