LLVM是编译器的框架系统,OLLVM(Obfuscator-LLVM):混淆JNI文件的一种工具
OLLVM源码 : https://github.com/heroims/obfuscator/tree/llvm-8.0
控制流平坦化
平坦化是来重组原始代码执行流程,把原本易于阅读的代码流程重组成一个switch case形式的执行流程,所以被混淆的函数具有异常的控制流。
指令替换
使用功能上等效但更复杂的指令序列替换标准二元运算符(+ , – , & , | 和 ^)
虚假控制流程
这个模式主要嵌套几层判断逻辑,一个简单的运算都会在外面包几层if-else。
OLLVM反混淆
反混淆需要解决以下几个问题:
- 找出流程里所有的相关块,确定哪些是分发控制块和真实逻辑块
- 确定各个真实块的前后顺序与关系
- 将真实块用跳转(B,BNE等跳转指令)连接起来
确定分发控制块
观察白色的块,其实特征非常明显,非常短(只有几条指令),仅仅只有寄存器的操作,而没有内存操作,最后都是cmp+跳转等等,这个不同厂商的混淆有细微的差别,但多数都特征非常明显,可以直接静态分析出来,在反混淆程序设计上,为了隔离这种差别引起的复杂性,可以用多态隔离掉就可以了。确定所有控制块后,直接用0清除这些块里面所有指令,免得干扰ida分析,因为修复成功后,所有真实块都不会经过这些控制块了。
确定真实逻辑块的前后关系
单从静态分析去确定真实块的关系非常浪费时间,这里可以采取两种方法
IDA动态调试,使用trace断点记录目标函数执行路径
模拟执行目标函数,并记录执行路径
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
