去平坦化学习及环境安装踩坑过程

最新推荐文章于 2024-01-15 18:17:24 发布
最新推荐文章于 2024-01-15 18:17:24 发布
阅读量753 收藏 3
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43781139/article/details/127368668
版权

OLLVM

OLLVM 的控制流平坦化是一种常见的代码混淆方式,其基本原理是添加分发器来控制流程的执行。针对这种混淆方式的还原也有了许多研究和工具,大致思路分为动态和静态两种:

动态:通过Unicorn模拟执行的方式获取各真实块的关系

静态:通过符号执行、中间语言分析等方式获取真实块之间的关系。

简单来说,OLLVM会添加一个用于控制跳转的状态变量和分发器:当一个真实块执行完成后,会把状态变量的值进行更新,回到分发器进行检查,再根据状态变量的值跳转到下一个真实块执行;

如果原本的执行流程中存在条件跳转,则会在各条件下对状态变量设置不同的值,再回到分发器进行检查和跳转。

环境搭建

需要用到开源项目
https://github.com/cq674350529/deflat
项目文件比较多,取出这三个文件放到一个文件夹下比较清晰
在这里插入图片描述
千万要带着util.py,我就是没拉出来这个文件,装环境装了半天。。。

还要安装angr,我在win下直接pip install angr就可以,linux下可能会报错,参考这个
https://blog.csdn.net/weixin_45055269/article/details/105176185

实例分析

样本md5:
2d7a7088ff0c36f2dd6a75ac19065d9e
平坦化处理之后的程序逻辑是这样的:
在这里插入图片描述
在这里插入图片描述
有很多这种程序跳转,基本上是不可分析的状态。
使用脚本,命令:

python deflat.py -f test --addr 0x400620

这里的0x400620是main函数就是被处理函数的开始
处理结束
在这里插入图片描述
处理之后的程序效果:
在这里插入图片描述
虽然无法完美还原,但是已经清楚的可以看清程序逻辑了。

参考文献:
https://www.cnblogs.com/zhwer/p/14081454.html
https://blog.csdn.net/weixin_45055269/article/details/105176185

孤客浪子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Frida和IDA分析OLLVM控制流程平坦
小龙在线
01-12 2576
简介:https://github.com/obfuscator-llvm/obfuscator/wiki/Control-Flow-Flattening 特征:常量很多,用来根据常量跳转到正确的位置。 分析控制流程平坦,主要是分析交叉引用,有两种方法,一种从输入参数开始分析交叉引用,一种是从输出结果分析交叉引用。 ...
混淆技术研究-OLLVM混淆-控制流平坦(FLA)
Tasfa的博客
09-10 769
控制流平坦通过将程序中的条件分支语句转为等价的平铺控制流来实现。通常,这包括将原始的分支语句(如if语句、switch语句)中的每个分支提取出来,并将它们放置在一系列连续的基本块中,然后使用一个状态变量或标志来选择要执行的基本块。这样,原本嵌套的条件分支结构就被展开成了一个扁平的基本块序列。
初识ollvm控制流平坦
weixin_42545308的博客
10-26 945
app:B站, 版本:随便搞了个最新版 目标:分析sign算法 1. 算法定位 B站的java层定位并不难找,直接搜索大法即可定位到生成sign的native函数。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编
OLLVM混淆环境搭建与去平坦
最新发布
DD5001的博客
01-15 2151
LLVM(Low Level Virtual Machine)是一个开源的编译器基础架构,它包含了一组模块、可重用的编译器和工具,支持多种编程语言和目标架构,包括x86、ARM和MIPS等。LLVM的核心思想是将编译器分为前端和后端两个部分,前端负责将源代码转换为中间表示(IR),后端负责将中间表示转换为目标机器的汇编代码。这种设计使得LLVM可以支持多种编程语言,因为只需要为每种语言编写一个前端,就可以利用后端的通用性支持多种目标架构。
移动安全面试题—混淆
Andy0214的专栏
08-08 4632
Java 层混淆:主要通过修改类、方法和变量名称,以及插入无关代码等手段,使得逆向分析变得困难。常见的 Java 层混淆工具有 ProGuard、DexGuard 等。这些工具在 Android 开发中得到了广泛应用,以保护应用的源代码和逻辑。so 层混淆:主要针对 Native 代码(C/C++)进行混淆,包括改变函数名、变量名、数据结构等,以及插入无关代码等。so 层混淆可以进一步提升应用的安全性,防止攻击者轻易分析应用的内部结构和逻辑。
去除控制流平坦的defalt脚本
02-17
`am_graph.py`可能包含了构建和操作控制流图的函数,而`deflat.py`可能是核心的去平坦实现,负责实际的分析和重构工作。 在实际应用中,这类脚本的开发和优需要深入的编程知识,特别是对于特定ISA的理解,以及...
行业分类-设备装置-表面平坦方法及半导体多层互连结构.zip
08-23
首先,表面平坦方法是集成电路制造过程中的一个核心步骤。在半导体制造过程中,随着工艺技术的发展,多层布线和复杂的纳米级结构使得每一层薄膜的厚度和表面平整度成为决定电路性能的关键因素。常见的表面平坦...
行业分类-设备装置-表面平坦.zip
08-23
1. 光刻胶平面:在多层布线过程中,通过涂覆光刻胶并进行平坦处理,使得每一层电路图形都能精确对准,避免因层次叠加导致的偏差。 2. 学机械抛光(CMP):这是一种结合学腐蚀和物理研磨的工艺,用于全局平坦...
行业分类-设备装置-半导体平坦用研磨剂.zip
08-22
半导体平坦是指在半导体制造过程中,通过各种方法消除微观层面上的不平,以确保后续的微加工工艺如光刻、蚀刻等能够精确进行。这一步骤对于现代集成电路(IC)的高密度集成至关重要,因为随着半导体技术的发展,...
半导体制造工艺@第100章-平坦技术-综合文档
05-14
在半导体制造过程中,平坦技术是一项至关重要的工艺步骤,它对于确保集成电路(IC)的高性能和可靠性起着决定性作用。本章将深入探讨平坦技术的原理、方法及其在现代半导体制造中的应用。 首先,我们需要理解为...
C++异常处理控制流下的OLLVM混淆
轻松学C语言
10-10 4643
点击蓝字关注我们来源于网络,侵删Inflated!!!C++异常处理OLLVM-控制流平坦Two PuzzlesException一般碰到C++异常逆向,确定了异常分发、处理部分,直接把call throw改为jmp catch块,再F5即可。PS: 多个catch块根据rdx来当为异常处理数值决定哪个为对应的catch块。关于以上,这篇讲的很详细:https://4nsw3r.top/202...
deflat 脚本学习【去除OLLVM混淆】#
qq_41146932的博客
08-03 513
就这道题而言,deflat 脚本中angr 对局部的模拟执行显然无法获取真实块间的执行顺序,重建控制流显然也无从谈起。当然静态查找各个控制流平坦的功能块效果还是可以的。那么如何通过angr,有序的、联系上文地进行模拟执行,获取真实块的执行逻辑,显然是关键点!
OLLVM环境搭建-Ubuntu20.04
megaparsec
09-06 4163
早在1997年,学术界就开始了代码混淆的研究。目前使用最广泛的混淆分类方式是Collberg于1997年针对JAVA程序的安全问题提出的。布局混淆、预防性混淆、数据混淆、控制混淆。布局混淆指删除或修改源代码中的对攻击者由于的信息,如变量名、调试信息等。显然,布局混淆在二进制代码混淆中可以忽略不计。预防性混淆指预先针对特定的反编译工具,解混淆方法进行防备。
用angr去除o-llvm控制流平坦
liumengdeqq的专栏
01-02 2516
更改这篇文章中最新版本的bug https://security.tencent.com/index.php/blog/msg/112 和补充这篇文章的环境搭建    1.配置mac中docker环境      (1)下载 https://download.docker.com/mac/stable/Docker.dmg      (2)可以按照这篇文章中传mac到docker文件 http
利用简单的unicron去除ollvm控制流程平坦
JackBoy的博客
07-02 1114
一.脚本如下 #-*- coding=utf-8 -*- from unicorn import * from unicorn import arm_const from unicorn.arm_const import * from capstone import * from capstone.arm import * from keystone import * def hook_code(uc, address, size, user_data): global FindFlag globa
去控制流平坦学习
szxpck的博客
07-14 4398
控制流平坦是OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制流和指令替换,这3种保护方式可以累加,对于静态分析来说混淆后代码非常复杂。 控制流平坦的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行流程。 例如一个常见的if-else分支结构的程序可以是这样: 经过控制流平坦之后,得到了一个相当规整的流程图: 控制流平坦在代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。 混
CTF ollvm
zero
08-11 1172
解题思路:利用Miasm反控制流平坦,当然也可以直接逆 程序逻辑:进行了两次RSA 第一次: 可以直接分解得到密钥 第二次: 正常的RSA加密 由于是逐字节取数据加密,所以可以爆破建立彩虹表 两次加密数据之间存在累加对应关系 ...
平坦
weixin_34087307的博客
08-15 245
Flattening One of the common usages of object-object mapping is to take a complex object model and flatten it to a simpler model. You can take a complex model such as: public class Order { ...
180517 逆向-反控制流平坦(符号执行脚本)
whklhhhh的博客
05-17 4784
控制流平坦的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值