混淆解密_使用IDA trace来还原ollvm混淆的非标准算法

最新推荐文章于 2024-06-10 09:56:31 发布
最新推荐文章于 2024-06-10 09:56:31 发布
阅读量1.1k 收藏 1
点赞数 1
文章标签: 混淆解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39976413/article/details/112676834
版权
af93e97772fcad4b8e467b8397c16442.png

本文为看雪论坛优秀文章

看雪论坛作者ID:pass_

这是3W班9月的题目。 题目使用ollvm混淆算法。 通过题目我掌握了IDA trace的使用方法,并灵活使用frida及调试等方式来获得中间状态来完成题目。 但是对常见算法不够熟悉,导致恢复了整个base64。这个工作量实际是可以省下的。 先拖进IDA看看,不是能简单逆向出来的。先上trace。   拿到trace的log后,尝试从输出往前找。本次的输入输出如下: e94ee6e01eb307d0f13c8a08986858be.png 按输出的字符搜索,经过几次尝试后,可定位到sub_7F0FA11764:loc_7F0FA1198C行就是生成输出的指令。和输出是完全一样的。 de6fdba166017615c2321dfef0618cf4.png 先看一下output[0]是怎么计算的。 375a7be6669b3bc89e49eb92bc67fa5a.png 分以下3步: 1、从一个0000007F0FA39010地址中的0x15偏移中取出一会字节。我直接静态看这个地址的值与取出的值是不对的,观察了init array,发现有大量的解密操作,估计在里面做了解密,我动态调了一下,得到0000007F0FA39010这个数组的值为:”0123456789-_abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ”,此时值可以对应上了。 2、0x15的的计算是0x55>>2得到。 3、而0x55是从0000007F0F7CFDA0地址的0偏移中取出。0000007F0F7CFDA0暂时不知道是什么,暂称为middle数组。 为了便于计算,需要先得到这个middle数组的值,这个用trace不大好看,我在IDA中二进制逆向跟踪一下。其实就是sub_F04C的第一个参数a1。 大概看一下整体的流程,在Java_com_kanxue_ollvm_1ndk_MainActivity_UUIDCheckSum这个函数中,input经过sub_1029c函数,生成v19。而v19就是一直透传到sub_F04C函数的a1。 2985666f53666f01df4b6e87824a682a.png 为了证明sub_F9B8的v19的值与sub_F04C的值是一样的,我写frida脚本hook一下并打印内存,确实是一样的。 因此整个流程就比较清楚了,input处理成middle,再处理成output。 第一次trace没有把这个参数记录下来,为了能更好地验证,再trac
最低0.47元/天 解锁文章
weixin_39976413
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FridaIDA分析OLLVM混淆APK
小龙在线
01-06 2586
Android实现动态库的加载,一般需要调用android_dlopen_ext函数。函数源码: void* android_dlopen_ext(const char* filename, int flag, const android_dlextinfo* extinfo) { const void* caller_addr = __builtin_return_address(0); return __loader_android_dlopen_ext(filename, flag, exti
ollvmida trace操作笔记
esabeny的博客
01-26 1732
1.启动顺序操作记录 1.把android_server push到手机里 2.chmod 777 android_server 3.adbforward tcp:11678 tcp:11678 4.ida->debugger->attach->arm-androddebugger 5.再按f9把程序跑起来 6.file->script_file->选择script.py加载ida脚本,成功后会有日志 7.然后点击Debugger->breaklist里可以看到我们的断
IDA调试器跟踪功能IDA调试器跟踪功能
01-20
IDA调试器跟踪功能IDA调试器跟踪功能
探秘MODeflattener:解密OLLVM的控制流扁平化函数
最新发布
gitblog_00048的博客
06-10 325
探秘MODeflattener:解密OLLVM的控制流扁平化函数 项目地址:https://gitcode.com/mrT4ntr4/MODeflattener 在软件安全领域,代码混淆和反调试技术被广泛应用于保护知识产权和提升软件安全性。其中,控制流扁平化(Control Flow Flattening)是一种有效的混淆手段,它使恶意代码更难以被逆向工程解析。然而,随着技术的发展,对抗混淆的方法...
最右ollvm字符串混淆还原
ST0new的博客
03-22 2122
某apk so层ollvm字符串混淆 本次逆向分析用到的工具:adb、ida、010Editor、ddms。 这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。 先检测一下设备是否正常 adb devices 然后解压apk文件,提取出lib目录下的libnet_crypto.so文件 armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64 so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的 接下来,分
re学习(26)攻防世界-re-BABYRE(IDA无法分析出函数-代码混淆
m0_66039322的博客
08-02 350
栈帧是函数在执行时在栈上所创建的一块内存区域,用于存储局部变量,函数参数,返回地址等信息。在函数调用过程中,‘rbp‘用于维护栈帧的指针,以便在函数执行结束后能够恢复调用者的上下文。在函数调用过程中,通常会先将返回地址和其他寄存器的值(如’rbx‘,'rdi','rsi','rdx'等)压入栈中,然后将’rbp‘的值压入栈中。一般应对策略:使用按键U,告诉IDA,这是一个数据(通常是一个字节就够了),然后在下一个位置,点击C告诉IDA又可以开始按照代码来解释。
IDA PRO 06 - 动态调试基础04
a5right的博客
12-08 1312
今早看了一个视频,深得我心,与我更系列文章几乎是一样的理由,不过我想的没有那么透彻。不同的人生阶段会有不同的想法,重新开启一个新的学习旅程对现在的我来说,是一个值得尝试的东西。曾有段时间觉得自己除了写代码,啥都不会,现在发现还能做点事情,输出的应该也算有点价值。视频链接:https://www.bilibili.com/video/BV1SH4y1q7k6/本文讨论一下动态调试的一些其他技巧。trace 使用调试fork进程。
Unicorn反混淆:恢复被OLLVM保护的程序(一)
小王的储物间
01-16 742
每次搜索开始的时候从queue中获取一个将要搜索的真实块,设置寄存器,调用find_path搜索下一个真实块,将搜索到的真实块与新寄存器放入队列(保证上下文完整)使用这样做的好处就是可以搜索任意队列中的代码块,并且寄存器环境一定是和该代码块一致的。网上确定真实块之间的调用关系大多都是用 angr 的符号执行来实现,不过angr是个强大的工程,强练容易走火入魔,需要从基础练起。启动虚拟机的函数叫find_path,用于寻找真实块的下一个代码块。这样可以模糊基本块之间的前后关系,增加程序分析的难度。
安卓逆向学习笔记之ida trace分析被ollvm混淆标准算法.docx
03-18
安卓逆向学习笔记之ida trace分析被ollvm混淆标准算法.docx
安卓逆向学习笔记之Frida+ida trace分析标准算法
03-15
总之,安卓逆向工程中的FridaIDA结合使用,能帮助我们有效地分析标准算法。通过动态追踪与静态分析的互补,我们可以深入理解复杂的软件行为,这对于软件开发、安全审计和漏洞挖掘等工作至关重要。在实际操作中,...
lda.zip_ida python_ida算法 python_lda_pda_lda算法python
09-21
标题中的"lda.zip_ida python_ida算法 python_lda_pda_lda算法python"涉及到的主要技术是IDA(Iterative Dichotomiser 3)算法,以及与之相关的LDA(Linear Discriminant Analysis,线性判别分析)和PDA(Partial ...
IDA.rar_IDA matlab_dissimilarity_matching 2009_匹配 matlab_匹配算法
09-23
接着,IDA算法使用某种距离度量来衡量特征点之间的相似性。通常选择欧氏距离或余弦相似度。对于每一对特征点,计算它们的描述子向量之间的差异,以此作为不相似度的度量。 IDA算法的执行流程如下: 1. 初始化:...
IDAExample.rar_IDA OPENSEES_OPENSEES_ida_matlab_opensees sdof
07-13
ida example for opensees
VMAttack:IDA Pro插件,虚拟化混淆分析利器
gitblog_00057的博客
05-17 328
VMAttack:IDA Pro插件,虚拟化混淆分析利器 项目地址:https://gitcode.com/anatolikalysch/VMAttack 在这个日益复杂的恶意软件世界中,逆向工程师面临着越来越大的挑战——虚拟化基础上的代码混淆技术。但是,有了VMAttack,这一切都变得不再那么艰难。这是一款荣获2016年IDA Pro插件大赛二等奖的插件,专为静态和动态分析虚拟化混淆代码而设计...
ida trace使用
qq_26394845的博客
11-21 714
trace步骤。
开源一个IDA小插件:修复VMP dump导入函数
yan_star的博客
01-19 2495
简述: 通常我们在静态分析vmp加壳后的程序或者驱动时,都会选择将其跑开然后看dump文件。但是vmp会将某些函数地址进行混淆,所以当我们想看一个函数时,常常会见到如下图所示代码段: 面对上述情况,我之前一般都是默默的打开计算器,人肉去算地址,然后看落在哪个模块上,把对应模块扣出来,改基址,接着根据算出的地址看是哪个对应函数,最后回到dump文件,将名字标上!算一个,两个还能忍,但是当面对无数这样的函数,甚至说你算到最后发现竟然是之前已经标过的函数时,头已经大了。 于是,在经历这样的折磨之后,写了一个ID
jnitrace、frida-trace、Stalker、sktrace、Frida Native Trace、r0tracer、straceIDA trace、Unidbg Trace
freeking101的博客
03-19 4665
一个基于 frida 的工具,用来追踪安卓应用的 JNI API。jnitrace 是一个动态分析追踪工具,类似与 frida-trace 和 strace,但是jnitrace 只针对 JNI。
ida android sign加密,最右sign-v2签名算法追踪及逆向还原
weixin_39998998的博客
06-02 595
原标题:最右sign-v2签名算法追踪及逆向还原 本文为看雪论坛优秀文章看雪论坛作者ID:尐进本篇文章应该于N个月前就写了,由于拖延症一直拖到现在。其实一直打算写一系列逆向实战,比如某音、某手、某乎、某宝,也不知道会不会有时间且不拖延的写下去。好了言归正传,上次分析的最右APP版本为4.2.1 已经是18年10月的时候了 当时签名算法只有一个"sign" ,而本次分析的是目前最新版本5.5.9 。...
IDA调试跟踪
深耕安全技术研究
05-13 2271
这里写目录标题1.IDA调试概述2.指令跟踪3.函数跟踪4.栈跟踪5.监控 1.IDA调试概述 IDA中的调试跟踪是一种记录方法, 它主要是用于记录一个进程在执行过程中发生的特定事件。 跟踪分为两类:指令跟踪和函数跟踪。 2.指令跟踪 在IDA打开指令跟踪方法:Debugger-Tracing-Instruction Tracing IDA将记录被指令更改的地址、指令和任何寄存器的值。(指令跟踪将减慢被调试进程的执行速度,因为调试器必须单步执行这个进程,以监视和记录所有寄存器的值) 3.函数跟踪 在IDA
使用IDAPro如何查看代码是否混淆
06-09
对于iOS应用程序,可以使用IDA Pro来分析应用程序的二进制文件,并判断应用程序是否被混淆。具体步骤如下: 1. 打开应用程序的二进制文件:在IDA Pro中选择File -> Open,然后选择应用程序的二进制文件。 2. 分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值