一种简单实用的ollvm反混淆的方案与源码

于 2024-05-24 16:50:48 发布
阅读量439 收藏 4
点赞数 3
分类专栏: 逆向开发 编程技术 文章标签: android 数据库 音视频 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei_java144/article/details/139178884
版权

我是一名从事反欺诈&风控&设备指纹相关的工作,最近对ollvm的如何逆向的问题进行了学习与思考。
ollvm是一个开源免费的so混淆工具,对于逆向的小白来说简直是灾难性的存在。
这个例子是超简单,我想每个人都可以学会跟掌握,

先上案例看看效果

我使用ollvm混淆了
libmyapplication4.so(附加),这个例子是针对test3()方法进行反混淆
ollvm的混淆打满

1

SET(CMAKE_CXX_FLAGS_DEBUG "${CMAKE_CXX_FLAGS_DEBUG} -mllvm -fla -mllvm -bcf -mllvm -bcf_loop=3 -mllvm  -sub")

1

2

3

4

5

6

7

8

9

10

11

void test3(){

    bool a= false;

    if(!a){

        std::string hello1 = "Hello from C++1";

    }

    __android_log_print(ANDROID_LOG_VERBOSE,"sanbalog","testlog %s","abc");

    bool b= false;

    if(!b){

        std::string hello1 = "Hello from C++b";

    }

}

将libmyapplication4.so拖进ida,ida方法中搜索test3

ollvm混淆后的流程图如下 

对应的按F5 返混淆的结果如下,代码没法看,总共两百多行 使用基于unidbg开发的反ollvm 反混淆后的流程图如下:

 按F5反汇编代码如下:

相关的unidbg代码在附件中,放到开源的unidbg中运行即可。接下来我讲讲原理吧。

原理篇

首先讲讲网上开源的跟一些前辈的处理方案,网上的处理方案比较复杂,大体流程如下:
1 收集代码块,这个代码块包含cesl指令向左还有向右收集一遍,收集代码块可以使用unidbg,hook代码块并对应执行对应方法,从而将代码块集合收集到
2 利用ollvm虚假代码块的特征将虚假代码块进行过滤,
3 将真实的代码块串联起来。写入so

我也跟着做了一遍,发现第1步非常容易出错,一旦出错某些代码块就没有执行到,得到的结果是代码出现丢失。那么脚本的兼容性就很难。
第2步,网上的前辈针对虚假代码块过滤也是写了一大堆代码,想理解起来也是比较麻烦,而且效果也不佳。
针对以上问题,让问题变得更简单兼容性更好,我的改进如下:
1 我直接执行一遍,将所有的代码块收集起来,不管它cesl指令。这里有个非常关键的地方是,真实的代码块只会执行一遍,如果如果代码块集合中已经存在,则不要添加进去,否则导致的结果是代码丢失
2 根本不需要对虚拟代码块进行过滤,反混淆后,我们将真实执行的代码块串联了起来,它们在F5逆向之后,并不会产生干扰代码。其实最终的目的不就是为了看源码吗
最后如何将代码块串起来可能很多初学者无法理解。其实原理很简单
将收集的代码块进行迭代,取当前的代码块最后一条指令地址,取下个代码块首个指令地址,算出跳转过去要跳几个自己,源码中有,然后将当前代码块的最后一条执行改为B 跳转

 

463666991
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ollvm混淆混淆和定制修改.doc
09-28
最近各大杀毒公司陆续都出了混淆,网上关于ollvm的资料比较少,于是就有了这篇文章,这篇文章介绍,android的native代码,也就是so和linux的c/c++代码均可使用的混淆工具ollvm的编译,混淆混淆,和混淆
deobf:像deofuscator一样的arm32 ollvm,旨在消除像编译器一样由ollvm造成的混淆
03-08
脱氧核糖核酸 实验性的ollvm(例如去雾剂),旨在消除ollvm(例如编译器)造成的混淆,尤其是FLA,使逆向工程变得更容易... 用法 将来可以通过pypi实现。 确保您使用的是python 3.7。 克隆存储库 运行pip install -r requirements.txt 如果您在Windows上无法获得keystone-engine依赖项(如我所做的那样): 克隆他们的 在bindings/python打开一个终端 运行python setup.py install (确保您使用的是python 3.7) 下载您的Windows - Core engine软件包以供您的python拱门使用。 将keystone.dll放在C:\location_to_python\Lib\site-packages\keystone\ 。 3.运行python deobf.py
混淆:恢复被OLLVM保护的程序
weixin_30361641的博客
03-29 852
译者序: OLLVM作为代码混淆的优秀开源项目,在国内主流app加固应用中也经常能看到它的身影,但是公开的分析研究资料寥寥。本文是Quarkslab团队技术博客中一篇关于混淆的文章,对OLLVM项目中的控制流平坦化、虚假控制流、指令替换等混淆策略进行了针对性分析,并展示了利用符号执行对OLLVM混淆进行清理的一些思路和成果。 文章侧重于混淆思路的讲解,并没有提供完整的代码方案,部分关键...
ollvm混淆实战
uiop_uiop_uiop的博客
05-26 1924
下载之后里面是一个payload.bin,使用payload-dumperX64.exe对这个文件解密,用7zip打开解压出来的system.img,找到需要的这10个文件,放到lib和libs两个文件夹中。文中需要添加5个system的lib,和5个lib64,因为文中的代码说了androidapi=26,所以从下面谷歌官网下载android8.0的镜像。然后在unidbg-android中添加自定义类。参考上面的博客进行操作。首先配置unidbg框架。成功记录所有的jni调用。
Android OLLVM混淆实战
zhangmiaoping23的专栏
05-24 2274
前言 小弟我最近在研究ollvm平坦化的混淆,但网上的参考资料大多是x86的混淆,关于arm的少之又少,现正好手头有个app样本中运用了这种混淆技术,所以拿来练一练手。 app样本:douyin9.9.0 so样本:libcms.so 逆向工具:ida,jadx 观察函数控制流程图(CFG) 所要获取的签名算法位于leviathan方法中,该方法是个native方法,在libcms.so中没有静态关联函数,所以我们需要找到其动态注册的位置。 首先,分析Jni_OnLoad函数,Jni.
Android SO文件保护OLLVM混淆加固——混淆篇(二)
10-03
Android SO文件保护OLLVM混淆加固——混淆
AST混淆js还原工具2.2(20230203)
02-03
2.混淆后尽量接近源码的可读性 介绍 1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.修复...
android9种实用程序源码
11-21
1、 图片浏览器(Picture Viewer) 2 、文件浏览器(File Browser) 3 、通讯录(Contact) 4 、任务管理器(Task Manager) 5 、音乐播放器(Rock Player) 6 、天气预报(Android Weather Forecast) ...
JS解压混淆超好用的小工具
01-06
JavaScript(简称JS)是一种广泛应用于Web开发的脚本语言,其灵活性和强大的功能使得它在网页交互、数据处理等方面有着广泛的应用。然而,为了保护源代码的安全性或防止他人轻易理解代码逻辑,开发者经常会对JS代码...
Unity Global-metedata.dat 混淆加密源码
最新发布
02-21
这个插件可以让你很轻松的加密和混淆源码 目前仅支持 Android/IOS Andorid端 只需要导入Unity工程并输出AndroidStudio工程并打包Android即可完成加密 IOS端稍微麻烦一点需要提前安装一下华佗热更框架支持 用不用热更...
代码混淆android.mk,利用ollvm进行代码混淆
weixin_39560066的博客
05-27 1626
OLLVM简介OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学于2010年6月份发起的一个项目,该项目旨在提供一套开源的针对LLVM的代码混淆工具,以增加对逆向工程的难度。OLLVM是基于LLVM实现的,LLVM是一个编译器框架,它也采用经典的三段式设计。前端可以使用不同的编译工具对代码文件做词法分析以形成抽象语法树AST,然后将分析好的代码转换成LLVM的中间表示IR(inte...
OLLVM混淆环境搭建详细教程
会飞的丑小鸭的博客
08-20 8912
一 简介 LLVM:一个编译器,用来编译so和可执行文件等 OLLVM:在LLVM的基础上去混淆so   二 OLLVM混淆环境搭建 1.环境配置 虚拟机:VMware 系统:Ubuntu-12.04.5-64位(这里也测试了另一个linux系统ubuntu-17.10.1-64位 编译不出来,ollvm缺少clang) OLLVM版本:obfuscator-llvm-3.4 n...
【iOS逆向与安全】使用ollvm混淆你的源码_
Innocence_0的博客
10-18 621
简单的入门文章,希望能帮助到你。最后给大家准备了一份大礼包!
解决ollvm字符串混淆的几种方法
blind cat
03-02 2429
手动还原 应用运行,dump so unicron 执行 uEmu
为OLLVM添加字符串混淆功能
king_jie0210的专栏
08-15 3451
转载声明:https://www.anquanke.com/post/id/86384 本文简单介绍了下使用上海交大GoSSIP小组开源的“孤挺花”混淆框架来给OLLVM加上字符串混淆的功能。 0x01 OLLVM 4.0 OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个针对LLVM代码混淆项目,主要作用是增加逆向难度,从而一...
ollvm学习——混淆步骤
qq_42372980的博客
08-13 373
在build目录下 bash run.sh,编译生成.so文件 切换到test目录下: opt -load ../build/Obfuscation/libollvm.so -bcf testAnd.bc -o testAnd3.bc opt -dot-cfg testAnd3.bc dot -Tpng .main.dot -o testAnd3.png
我的LLVM学习笔记——OLLVM混淆研究之BCF篇
suningning的专栏
11-29 3949
因为要做代码保护,所以抽时间研究了下OLLVM中的三种保护方案:BCF(Bogus Control Flow,中文名虚假控制流)、FLA(Control Flow Flattening,中文名控制流平坦化)、SUB(Instructions Substitution,中文名指令替换),本文是BCF介绍篇。 1,查看BCF的头文件,暴露给外界的两个函数如下: // Namespace name...
最右ollvm字符串混淆还原
ST0new的博客
03-22 2130
某apk so层ollvm字符串混淆 本次逆向分析用到的工具:adb、ida、010Editor、ddms。 这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。 先检测一下设备是否正常 adb devices 然后解压apk文件,提取出lib目录下的libnet_crypto.so文件 armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64 so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的 接下来,分
使用ollvm混淆你的源码
04-04
OLLVM一种基于LLVM混淆器,可以对源代码进行混淆,使其难以逆向和分析。下面是使用OLLVM混淆源码的步骤: 1. 安装OLLVM 首先需要安装OLLVM,可以从官方网站(https://github.com/obfuscator-llvm/obfuscator)下载源代码,然后编译安装。 2. 编写源代码 编写需要混淆的源代码,例如: ``` #include <stdio.h> int main() { int a = 10; int b = 20; int c = a + b; printf("c = %d\n", c); return 0; } ``` 3. 使用OLLVM混淆源代码 使用OLLVM混淆源代码可以通过以下命令: ``` clang -Xclang -load -Xclang /path/to/obfuscator.so -mllvm -obfuscator -o obfuscated.out source.c ``` 其中,`/path/to/obfuscator.so`是OLLVM的插件,`source.c`是需要混淆的源代码文件,`obfuscated.out`是混淆后的输出文件。 4. 查看混淆后的源代码 使用编译工具查看混淆后的源代码,可以看到代码已经被混淆,变得难以理解和分析,例如: ``` #include <stdio.h> int main() { int _0_hM5 = 10; int _1_hM5 = 20; int _2_hM5 = _0_hM5 + _1_hM5; printf("c = %d\n", _2_hM5); return 0; } ``` 可以看到变量名和表达式已经被混淆,使得代码变得更加复杂和难以理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值