不混淆so文件_Android OLLVM反混淆实战

最新推荐文章于 2024-05-24 16:50:48 发布
最新推荐文章于 2024-05-24 16:50:48 发布
阅读量647 收藏 3
点赞数
文章标签: 不混淆so文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28981373/article/details/112731446
版权

b2a820306a676057a174effba02550a3.png

前言

小弟我最近在研究ollvm平坦化的反混淆,但网上的参考资料大多是x86的反混淆,关于arm的少之又少,现正好手头有个app样本中运用了这种混淆技术,所以拿来练一练手。

app样本:douyin9.9.0
so样本:libcms.so
逆向工具:ida,jadx

观察函数控制流程图(CFG)

所要获取的签名算法位于leviathan方法中,该方法是个native方法,在libcms.so中没有静态关联函数,所以我们需要找到其动态注册的位置。

2606e412eb99ae2dd0104d78c8f9bc8f.png

首先,分析Jni_OnLoad函数,Jni函数的动态注册一般都在这里进行:

012d46ac93ecb0c2025336dbdc91e237.png

关于ollvm的基本原理,大家可以在 https://github.com/obfuscator-llvm/obfuscator 上进行详细了解,在这里不做过多说明。

可以看到 JNI_OnLoad已经被彻底地混淆,通过流程图结构,我们可以初步推断是ollvm的指令平坦,进一步观察发现大部分流程块都会跳转至0x46FE,从而可以得出0x46FE是主分发器所在块,r0寄存器作为保存索引值的寄存器(在这里我将混淆里用于索引到相关块的常量值称为索引值)。

29de6d986857b09389c8345cdd9d9733.png

去除一般混淆

仔细观察函数内容,发现其中还包含另外一种混淆结构,如下图所示:

738297864ff280ac5b1248493b3d6b0c.png

从0x478c的位置PUSH {R0-R3}开始是另一个混淆结构的开始,功能比较简单,分析之后其作用是直接跳转到另一个地址,跳转的位置是到POP {R0-R3}指令的下一个地址,即0x47E4的位置。
去除这中混淆的方式也比较简单,直接把0x478c处修改成到0x47E4的跳转即可,中间的混淆代码可以用nop填充掉,鉴于整个函数有多处这样的混淆,可以写个ida脚本批量处理,通过搜索特征字节码来定位混淆代码的起始与结束位置,例如混淆开始处的opcode为0F B4 78 46 79 46(为了避免错误识别可以多判断几个字节码),结束处的opcode为0F BC。

脚本内容如下:

from idc import *from idautils import *from idaapi import *from keystone import *ks=Ks(KS_ARCH_ARM,KS_MODE_THUMB)def ks_disasm(dis_str):    global ks    encoding,count=ks.asm(dis_str)    return encodingfunc_start=0x44c8func_end=0x498cpatch_start = Nonepatch_end = Nonefor i in range(func_start, func_end):    #PUSH{R0-R3} or PUSH{R0-R3,R7}    #MOV R0,PC    #MOV R1,PC    if get_bytes(i,6,0) == b'x0fxb4x78x46x79x46' or get_bytes(i,6,0) == b'x8fxb4x78x46x79x46':        patch_start = i    #POP{R0-R3}    if get_bytes(i,2,0) == b'x0fxbc':        if patch_start != None:            patch_end = i + 2    #POP{R7},POP{R0-R3}    if get_bytes(i,4,0) == b'x07xbcx88xbc':        if patch_start != None:            patch_end = i + 4    if nop_start != None and nop_end != None:        for i in range(0, patch_end - patch_start, 2):            patch_byte(nop_start+i,0x00)            patch_byte(nop_start+i+1,0xbf)        dis_str = 'b #{}-{}'.format(patch_end, patch_start)        jmp_addr.append(patch_start)        encoding = ks_disasm(dis_str)        for item in encoding:            print('{}'.format(hex(item)))        for j in range(len(encoding)):            patch_byte(patch_start+j,encoding[j])        patch_start = None        patch_end = None
寻找相关块

准备工作已完成,正式进入我们的主题,还原ollvm的混淆代码——关于如何还原流程平坦化,有三个问题需要解决:

一、找出流程里所有的相关块

二、找出各个相关块之间执行的先后顺序

三、使用跳转指令将各个相关块连接起来

第一个问题,通过以下规律找到差不多所有的相关块:

1、后继是分发器块的,一般是相关块(注意是一般,因为有的次分发器也会跳转至主分发器

2、相关块的前继块中,有且只有当前相关块一个后继块的,也是相关块

Github上有许多二进制分析框架(angr,barg,miasm等等),可以对函数生成CFG(控制流程图),由于barg和miasm对arm-v7a指令的支持不是很完全,有些代码无法反汇编,最终我选用了angr。(github地址

最低0.47元/天 解锁文章
zetac~~~
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android SO文件保护OLLVM混淆加固——混淆篇(二)
10-03
本文将深入探讨如何使用OLLVMAndroid SO文件进行混淆加固。 首先,我们需要了解OLLVM的工作原理。OLLVM基于LLVM(Low Level Virtual Machine),一个开源的编译器基础设施项目,它提供了编译器前端、中间表示(IR...
Android SO文件保护加固——混淆篇(一)源代码
09-26
3. **数据混淆**:对于SO文件中的常量和数据结构,混淆可以通过加密、编码或者使用动态加载等方式,确保其在内存中的形式不被轻易解析。 4. **字符串混淆**:替换字符串变量为随机字符序列,或者在运行时动态解密...
linux 生成so文件有多个_Linux环境下C++文件的各种形式组合动态库.so
weixin_32563347的博客
11-27 755
1、 纯cpp文件打包动态库将所有cpp文件和所需要的头文件放在同一文件夹,然后执行下面命令gcc -shared -fpic *.c -o xxx.so;g++ -std=c++17 -shared -fpic *.cpp -o xxx.so;[C++17标准,需要高版本gcc,本人采用gcc 8.2.0]其中*.c代表所有的c文件,xxx.so中的xxx代表so动态库的名字, -std=c++...
Android SO文件保护加固——混淆篇(一)
热门推荐
雪一梦的博客
09-26 2万+
继上次基于源码级别和二进制级别的SO文件的核心函数保护后,没看的网友可以点击:点击打开链接;这篇是针对我们在JNI开发过程中利用javah生成本地层对应的函数名类似于java_com_XX这种形式,很容易被逆向者在逆向so的时候在IDA的Exports列表中找到这样一个问题,我们的目的就是让IDA在汇编过程显示不出来,以及就算找到函数实现也是乱码的形式接下来开始搞;有问题欢迎大家批评指正和讨论。
一种简单实用的ollvm混淆的方案与源码
最新发布
wei_java144的博客
05-24 405
我是一名从事欺诈&风控&设备指纹相关的工作,最近对ollvm的如何逆向的问题进行了学习与思考。ollvm是一个开源免费的so混淆工具,对于逆向的小白来说简直是灾难性的存在。这个例子是超简单,我想每个人都可以学会跟掌握,
最右ollvm字符串混淆还原
ST0new的博客
03-22 2105
某apk so层ollvm字符串混淆 本次逆向分析用到的工具:adb、ida、010Editor、ddms。 这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。 先检测一下设备是否正常 adb devices 然后解压apk文件,提取出lib目录下的libnet_crypto.so文件 armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64 so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的 接下来,分
android O 兆字节还原,Android OLLVM混淆实战:算法还原
weixin_39873456的博客
05-25 323
前言之前一篇我们已经讨论了android arm平台下的ollvm平坦化混淆还原的基本方法,这一篇我们就接着上一篇,继续实战混淆。apk样本:douyin9.9.0so样本:libcms.so逆向工具:ida跟进上一篇末尾我们对Jni_Onload的最外层进行了混淆,f5之后可以看到,主要调用了sub_10710和sub_23B0两个函数,跟进sub_10710,并没有发现对vm的引用,而在s...
ollvm混淆实战
uiop_uiop_uiop的博客
05-26 1894
下载之后里面是一个payload.bin,使用payload-dumperX64.exe对这个文件解密,用7zip打开解压出来的system.img,找到需要的这10个文件,放到lib和libs两个文件夹中。文中需要添加5个system的lib,和5个lib64,因为文中的代码说了androidapi=26,所以从下面谷歌官网下载android8.0的镜像。然后在unidbg-android中添加自定义类。参考上面的博客进行操作。首先配置unidbg框架。成功记录所有的jni调用。
NDK环境搭建和gui混淆.zip_android ndk_ndk jar_混淆
09-15
例如,如果你有一个名为`MyLibrary`的库,你不希望它被混淆,可以添加如下规则: ```proguard -keep class com.example.MyLibrary.** { *; } ``` 3. **测试混淆**:在构建Release版本之前,建议先在Debug版本中...
windows平台下的OLLVM4.0,支持so文件中字符串混淆
05-21
Windows平台编译生成的OLLVM文件clang.exe,clang++.exe等,集成到NDK工具中,用于Android JNI 中C,C++代码以及字符串的混淆 (支持的ndk版本有android-ndk-r14b-windows-x86_64,android-ndk-r16b-windows-x86_64...
详解Android代码混淆实战
01-06
如果开启了混淆,Proguard默认情况下会对所有代码,包括第三方包都进行混淆,可是有些代码或者第三方包是不能混淆的,这就需要我们手动编写混淆规则来保持不能被混淆的部分。 为什么要混淆: 优化java的字节码 ...
JEB2混淆脚本android 逆向脚本
07-30
JEB2.2.xJEB2.2.xJEB2.2.x[原创]JEB2混淆神器 [原创]JEB2混淆神器
安卓混淆工具 simolify
01-24
github上的,外国大神搞的。今天搞了一天,好麻烦啊!弄了半天,原来只是把单个文件混淆,不是我想象的吧a,b,c,d,混淆文件合并成一个,不过还是挺有用的,跟大家分享一下
180803 安卓-SO的OLLVM实践
whklhhhh的博客
08-09 1051
业务部提来的需求,自觉搞不来所以随便试试~ 之前找过一些资料,基本上可查阅的只有通过符号执行来控制流平坦化的,即之前说过的TSRC的那篇文章 该文提供的脚本是基于纯PE控制流平坦化之上的,整体执行框架必须满足主分发器-子分发器-真实块-预处理器的流程才行 而实践发现ndk编译出的so,无论是x86架构还是ARM架构都不满足上述框架–cfg相当丑,并且全部没有所谓的预处理器 点了几个函数看...
android so文件混淆_Android资源混淆 + 混淆忽略 .so库
weixin_30016191的博客
01-13 1021
安装包立减1M--微信Android资源混淆打包工具http://mp.weixin.qq.com/s?__biz=MzAwNDY1ODY2OQ==&mid=208135658&idx=1&sn=ac9bd6b4927e9e82f9fa14e396183a8f#rdAndResGuardhttps://github.com/shwenzhang/AndResGuard/bl...
安卓逆向代码混淆 Simplify工具 JEB2混淆神器
sinat_28371057的博客
01-19 7724
【技术分享】Android程序混淆利器——Simplify工具 https://www.anquanke.com/post/id/85388 发布时间:2017-01-23 17:21:23 问题背景 Android程序代码混淆Android开发者经常用来防止app被编译之后迅速被分析的常见手法。在没有混淆的代码中,被编译的Android程序极其容易被分析与逆向,分析利器JEB就是一个很好的工具。但是加了混淆之后,函数、变量的名称将被毫无意义的字母替代,这将大大提高分析的难度。有的甚至会
Android代码混淆3
chen4ad的专栏
08-23 299
为了保护代码被编译,android引入了混淆代码的概念 1.设置混淆 在工程下找到project.properties文件文件中加入proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt这个是系统的 也可以用自己的混淆文件(这样就可以配置一些自己的东西),去sd
android so文件混淆_Android studio 混淆打包时如何忽略依赖库中的第三方.so文件...
weixin_39818550的博客
01-13 916
如题,今天在打包项目的时候各种报错,在debug的时候没有任何问题,那么很快定位到问题所在---第三方.so文件混淆出问题了....项目是在AS中编译的一个module,依赖了一个以前在Eclipse中开发的library,该library通过import module导入到as作为一个依赖库的module想到需要添加混淆忽略,直接在library中编辑proguard-rules.pro,在编译...
Android 实现一键混淆功能
laughing_lh的专栏
09-21 1万+
众所周知,androidSDK自身提供了一个混淆工具,位于sdk\tools\proguard\bin目录下面的proguardgui.bat 我们双击这个批处理文件,发现界面 选择左侧的retrace目录,会出现上图所示界面,我们把混淆后保存的mapping文件导入到1的位置。把需要混淆的错误文件放入2的位置。随即点击3位置的retrace,此时会在空白页面展示混淆后的正确代码。 ...
android对so文件进行混淆
06-26
### 回答1: 混淆SO文件是指对Android native执行文件(.so文件)中的函数和数据进行加密和混淆,以保护代码的安全性和隐私性。与Java代码混淆不同的是,SO文件混淆是在编译阶段完成的,而不是在打包和发布阶段。 在Android开发中,NDK(Native Development Kit)是一款可用于编写本地代码的工具集。使用NDK开发的应用程序使用SO文件来提供C/C++函数和库。由于NDK代码不会在应用程序中进行编译,因此它们没有类似于Java代码的混淆和加密工具。因此,为了加强SO文件的安全性,需要使用其他的工具来进行混淆。 现在有许多开源的SO混淆工具可供使用。例如,Android NDK提供了一个名为LLVM混淆器的工具,它使用一些与Java代码混淆器不同的技术来优化指令流和掩盖代码逻辑。此外,其他SO混淆工具如YASC、MOVfuscator、O-LLVM等也可以用于混淆SO文件。 SO文件混淆可以通过多种方式实现。例如,针对代码文件进行重命名或修改,删除未引用的函数和数据,加密和混淆重要内容等。此外,也可以通过将硬编码的值替换为映射的值,使用一些外部定义的数据结构来防止汇编和静态分析等技术来实现混淆。无论采用何种方法,SO文件混淆对于保护代码的安全性和隐私性都具有重要意义。 ### 回答2: 使用Android Studio中的ProGuard工具可以对一个应用程序的Java class文件进行混淆,但是它并不支持对Native代码的混淆。由于so文件是编译后的二进制文件,没有人可读的,对so文件进行混淆通常都是为了防止逆向工程而不是优化程序的运行或缩小它的大小。 现在有一些第三方工具可以用来对so文件进行混淆,比如Bangcle、Qihoo 360、Baidu和信鸽。这些工具通过改变so文件的代码结构、函数名称和变量名等方法来混淆so文件,使之更加难以阅读和理解。 混淆so文件是有一定风险的,因为这可能会导致应用程序的崩溃和功能异常。此外,混淆so文件可能会和某些平台实现产生不兼容的问题。但是如果您确实担心你的so文件受到攻击,那么混淆so文件可能是一个值得考虑的安全策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值