符号执行android,基于Miasm符号执行移除OLLVM虚假控制流

最新推荐文章于 2024-01-24 11:13:36 发布
最新推荐文章于 2024-01-24 11:13:36 发布
阅读量292 收藏
点赞数
文章标签: 符号执行android

本帖最后由 coldnight 于 2019-7-23 21:29 编辑

背景

分析被OLLVM混淆后的样本,该样本开启了虚假控制流保护。编译器会在正常的控制流中会通过不透明谓词添加额外控制流块阻止静态分析。人工去除该保护较简单,本文期望自动化去除虚假控制流,减少人力。例如:

sub_27810

55fd2b2273b5a8b4531f72773c469d6e.gif

1561982954751.png (45.8 KB, 下载次数: 0)

2019-7-23 21:25 上传

代码块1中的y_149_ptr值为变量y_149的地址,还有其他以x_num或y_num为名称的变量:

55fd2b2273b5a8b4531f72773c469d6e.gif

1561983871211.png (40.22 KB, 下载次数: 0)

2019-7-23 21:11 上传

在程序运行时,这些变量(x_num)初始化为0。因此代码块1中[eax]的值为0,jl跳转永远成立,代码块2和3不会被执行。此外代码块2中的jz跳转也永远成立。

代码块3中的指令add esp, 2E68B6h阻碍了静态分析,使IDA F5功能失效:

55fd2b2273b5a8b4531f72773c469d6e.gif

1562748741700.png (22.8 KB, 下载次数: 0)

2019-7-23 21:12 上传

分析

手动修复:虚假控制流:代码块1中jl改为jmp,同时以NOP填充代码块2和3。自动修复:

对于仅使用虚假控制流混淆的样本,需要识别jl测试条件是否为不透明谓词,如果是则修改jl为jmp即可。对于jz也如此。在去除jx等测试条件后,遍历所有基本块,未被遍历的块即为虚假控制流生成的块,可以去除。

实现

Miasm 2.0是一款逆向工程框架,提供了基于IR的符号执行引擎。在Miasm中,jl的测试条件的IR可以表示为:(@32[@32[x_ptr]]

[Python] 纯文本查看 复制代码ptr_jk = ExprId("x_ptr", 32)

memop = ExprMem(ExprMem(ptr_jk, 32), 32)

j_succ_jk = ExprId("addr_succ", 32)

j_fail_jk = ExprId("addr_fail", 32)

to_match = ExprCond(ExprOp("

如果地址的名称以x.或y.开头,则认为是不透明谓词的变量:

[Python] 纯文本查看 复制代码def is_dummy_var(s): # type: (str) -> bool

return s.startswith("x.") or s.startswith("y.")

使用符号执行引擎执行基本块,匹配基本块的分支条件,如果属于不透明谓词,则修改跳转指为为JMP即可:

[Python] 纯文本查看 复制代码loc = todo.pop() # 获得未遍历的基本块nxt_addr = sb.run_block_at(ircfg, loc)

r = match_expr(nxt_addr, to_match, [mem_addr_jk, jl_dst_jk, njl_dst_jk])

if r and any(filter(is_dummy_var, loc_db.get_location_names(ircfg.get_loc_key(r[mem_addr_jk])))) \

and isinstance(r[jl_dst_jk], ExprInt):

# 不透明谓词 生成补丁

ablk = asmcfg.loc_key_to_block(loc_db.get_offset_location(offset)) # type: AsmBlock

j_asm = ablk.lines[-1] # type: instruction 汇编语句块最后一行即为跳转指令

j_offset = j_asm.offset

j_size = len(j_asm.b)

j_dst = int(r[jl_dst_jk]) # addr_succ

# 生成JMP addr_succ的op_code

new_j_asm = gen_j_ins("JMP", j_dst, j_offset, j_size, strict=True)

patches.append((j_offset, new_j_asm))

todo.add(ExprInt(j_dst, 32)) # 遍历下一基本块

else:

for dst in possible_values(nxt_addr):

value = dst.value

if value.is_mem():

logging.warning('Bad destination: %s', value)

continue

todo.add(value) # 添加所有应遍历的分支基本块遍历完成后未被未遍历的块属于虚假控制流,可以清空:

[Python] 纯文本查看 复制代码for ablk in asmcfg.blocks:

blk_off = loc_db.get_location_offset(ablk.loc_key)

if ExprInt(blk_off, 32) not in visited_asm_blk:

b_start, b_end = ablk.get_range()

patches.append((b_start, bytes(NOP_B * (b_end - b_start)))) # 以nop清空

效果

去除不透明谓词前(手动删除阻止F5的语句):

55fd2b2273b5a8b4531f72773c469d6e.gif

1562748940811.png (45.8 KB, 下载次数: 0)

2019-7-23 21:26 上传

去除后:

55fd2b2273b5a8b4531f72773c469d6e.gif

1562749056561.png (33.16 KB, 下载次数: 1)

2019-7-23 21:26 上传

weixin_39752215
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
我设计的Java代码混淆解决方案
武天旭的博客
03-01 4989
特别声明:本文是博主阅读大量硕博论文和知网文献后原创,非公司内部解决方案。 一 、代码混淆方案图 各模块功能简介: 程序预处理分析:对原应用程序进行程序分析预处理,为后续混淆奠定结构基础。 布局混淆模块:对代码中有意义的标识符进行重命名。 控制流混淆模块:对程序进行控制流混淆,包括插入多余的分支路径、压扁控制流、强化不透明谓词。 字符串混淆模块:加密隐藏代码中的常量字符串。 混淆算法库:对程序的混淆处理主要依靠混淆算法库支撑,算法库中包含一系列的基本块混淆算法。混淆算法...
miasm:Python中的逆向工程框架
02-03
什么是MiasmMiasm是一个免费和开源(GPLv2)逆向工程框架。 Miasm旨在分析/修改/生成二进制程序。 以下是功能的不完整列表: 打开/修改/生成PE / ELF 32/64 LE / BE 组装/拆卸X86 / ARM / MIPS / SH4 / MSP430 使用中间语言表示汇编语义 使用JIT进行仿真(动态代码分析,解压缩等) 简化表达以自动消除混淆 ... 有关更多示例和演示,请参见官方。 目录 基本例子 组装/拆卸 导入Miasm x86体系结构: >>> from miasm.arch.x86.arch import mn_x86 >>> from miasm.core.locationdb import LocationDB 获取位置数据库: >>> loc_db = LocationDB() 组装一条线: >>> l = mn_x86.fromstring( ' XOR ECX, ECX ' , loc_db, 32 ) >>> print (l) XOR ECX, ECX >>> mn_x86.asm(l) ['1
代码混淆之道——控制流扁平与不透明谓词理论篇
dfdhxb995397的博客
08-17 972
控制流是指代码执行时指令的执行顺序。在各种控制逻辑的作用下,程序会沿着特定的逻辑顺序执行。一般控制逻辑包括有无条件分支、循环、函数调用等。 本文原创作者:i春秋签约作家——penguin_wwy 一、扁平化的定义 本篇讲代码混淆的一个重要手段,控制流扁平化。 所谓控制流是指代码执行时指令的执行顺序。在各种控制逻辑的作用下,程序会沿着特定的逻辑顺序执行。一般控制逻辑包括有\无条件分...
去混淆-不透明谓词
weixin_44348983的博客
01-24 385
去混淆
从零开始的SQL语言(MySQL)数据库全解(含例题)
weixin_51094585的博客
03-03 626
视图是用于创建动态表的静态定义,视图中的数据是根据预定义的选择条件从一个或多个行集中生成的。用视图可以定义一个或多个表的行列组合。为了得到所需要的行列组合的视图,可以使用 select 语句来指定视图中包含的行和列视图是一个虚拟的表,其结构和数据是建立在对表的查询基础上的,也可以说视图的内容由查询定义,而视图中的数据并不像表、索引那样需要占用存储空间,视图中保存的仅仅是一条 select 语句,其数据来自于视图所引用的数据库表或者其他视图,对视图的操作与对表的操作一样,可以对其进行查询、修改、删除
使用Miasm动态分析shellcode(翻译)
flydream3618的专栏
12-11 2102
         在本文中,我们将使用miasm动态分析研究一个shellcode。该分析包含了对Miasm内部结构的描述,并阐述了miasm的优势。shellcode位于存档dyn_sc_shellcodes.zip中,使用密码infected进行了加密。最终的脚本在这里:dyn_sc_run.py。 (译者注:文章底部会附上下载链接)   概要: 第一次尝试 符号执行 沙盒模拟 ...
Miasm初探(1)
哒君的博客
09-10 1026
从Github的第一个例子说起 Assembling / Disassembling Import Miasm x86 architecture: >>> from miasm.arch.x86.arch import mn_x86 >>> from miasm.core.locationdb import LocationDB mn_x86是一个代表x8...
固件逆向中常用的小工具
个人笔记
11-05 2154
本文主要介绍 IoT 固件逆向中,常用的一些小工具,对于黑盒分析固件十分有用。
OLLVM环境搭建-Ubuntu20.04
megaparsec
09-06 3787
早在1997年,学术界就开始了代码混淆的研究。目前使用最广泛的混淆分类方式是Collberg于1997年针对JAVA程序的安全问题提出的。布局混淆、预防性混淆、数据混淆、控制混淆。布局混淆指删除或修改源代码中的对攻击者由于的信息,如变量名、调试信息等。显然,布局混淆在二进制代码混淆中可以忽略不计。预防性混淆指预先针对特定的反编译工具,解混淆方法进行防备。
miasm简单配置笔记
u011337769的博客
01-26 1135
1.windows+ida环境配置 进入自己的ida目录下,D:\IDA_Pro_v7.0_Portable\python27,执行pip install pyparsing命令安装pyparsing.py 执行pip install elfesteem命令安装elfesteem miasm2/miasm2 目录copy到 D:\IDA_Pro_v7.0_Portable\pytho...
基于符号执行Android原生代码控制流图提取方法
01-20
提出了一种基于符号执行控制流图提取方法,该方法为原生库中的函数提供了符号执行环境,对JNI 函数调用进行模拟,用约束求解器对符号进行求解。实现了控制流图提取原型系统 CFGNative。实验结果表明,CFGNative可准确识别样例中所有的JNI函数调用和原生方法,并能够在可接受的时间内达到较高的代码覆盖率。
Android的全系统符号执行平台Android_S2E.pdf
12-16
Android的全系统符号执行平台Android_S2E ................................................................................ .................................................................... .....................................
miasm:迷你ASM解释器
02-15
MIAS 迷你ASM解释器。 注意之前 这是一个非常自定义,目的少,功能缺失和其他所有程序。 我们的目标只是在C中玩乐。如果您愿意,可以提出这个项目并提出您的改进建议,我很乐意为您服务。 如何安装 ? cmake . make echo "That's all !" 在Linux下开发。 可以与其他操作系统一起使用。 它是如何运作的? 按照说明编写文件,并使用miasm <filename>执行该miasm <filename> 。 关于寄存器的注意事项 并非所有声明的寄存器都被使用。 我将从只有4个基本寄存器的非常简单的内容开始,然后进行更深入的介绍。 我想要的功能 基本指令集 处理系统调用 使用漂亮的表格在CLI中显示寄存器... 制作一个小型编译器(将自定义ASM转换为C然后进行编译) 使此ASM可通过SOC执行(不可能的目标,但我把它放在这里很有趣)
Miasm
10-25
Miasm
信息安全_数据安全_us-18-DesclauxMougey-Miasm-Rever.pdf
08-22
信息安全_数据安全_us-18-DesclauxMougey-Miasm-Rever 区块链 漏洞分析 信息安全研究 安全分析 法律法规
java8看不到源码-VulSeeker:基于语义学习的跨平台二进制漏洞搜索器
06-04
用于生成LSFG(数据流图和控制流图)和提取基本块的特征 python2.7 - 所有源代码都是用python2.7编写的 - 用于将汇编程序转换为 LLVM IR。 我们对其进行了扩展以支持更多的汇编指令。 请直接将我们提供的miasm2复制...
Miasmi
10-28
Miasmi
pinvmp:PinVMP:虚拟化代码辅助分析工具
05-16
使用 Miasm 对基本块进行符号执行。 配置 下载 将 repo 中的文件编译成 pintool。(编译过程参考) # 配置 VS 命令行编译环境 "C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\VC\Auxiliary\Build\...
node-v9.6.0-x86.msi
最新发布
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值