180517 逆向-反控制流平坦化(符号执行脚本)

最新推荐文章于 2022-02-22 21:56:00 发布
最新推荐文章于 2022-02-22 21:56:00 发布
阅读量4.7k 收藏 4
点赞数
分类专栏: 逆向和保护 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/80357310
版权

控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转

正常流程如下
这里写图片描述

经混淆后的流程如下
这里写图片描述

破坏了代码块之间的关系后,整个程序的逻辑将很难辨认

符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系
由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了

符号执行反混淆的大体思路如上

找了一圈除了川大的实验室发了一篇论文,在github上闭源了一个框架以外就只有腾讯实验室给出了可用的完整脚本
依赖angr和barf
由于文章是一年前的关系,angr和barf的版本更新导致有一些API在原脚本上部分不可用,评论区找到了修复后的可用脚本,另外由于barf的版本还可能会有一些分歧,我们在评论区有讨论

图片引自腾讯实验室,详细分析和原理见原文

利用符号执行去除控制流平坦化(腾讯安全响应中心)

可用脚本

对于iscc的re3修复效果很显著
这里写图片描述

不过这个修复由于并不完全,仅是调整了基本块之间的顺序,所以汇编看起来还是比较蛋疼的
得益于IDA强大的Hex-ray插件,反编译以后的代码可读性被恢复的很高

下一步有空尝试一下Hook分发器来打出log的分析方法,将其视为一个VM来操作

奈沙夜影
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用AST对抗js混淆(三) 控制平坦(Control Flow Flattening)的处理
lacoucou的专栏
02-23 5118
控制平坦 本文主要分享了两个控制平坦的例子。
逆向学习_符号执行
最新发布
kitsch0x97的博客
05-06 933
符号执行(Symbolic Execution)是一种计算机科学领域的程序分析技术,用于确定执行每条程序路径所需的输入。通过采用抽象的符号代替具体值作为程序输入变量,得到关于程序中函数和变量的符号表达式,以及在程序路径上每个条件分支可能结果的约束条件。最后,通过求解程序路径积累的这些约束条件,确定执行该路径的可能输入。
去除控制平坦的工具deflat.py安装及使用
m0_49936845的博客
07-22 939
首先deflat.py需要一个库angr的支持,angr对python27较兼容,这里使用python27进行安装 安装angr: 方法1:(没有试验过) 使用pycharm中的安装库直接安装 方法2:
ast反混淆进阶--反控制平坦
jia666666的博客
09-14 1702
实现目的:标识符简 处理前: var _0xb28de8 = "3|1|2".spilt("|"), _0x8de8b2 = 0; while(true) { switch(_0xb28de8[_0x8de8b2++]) { case '1': var a = 1; continue; case '2': var b = 3; continue;
简单逆向13(angr,控制平坦)
m0_49936845的博客
07-24 502
诺莫13 开始 放入IDA: 查看程视图 这是一个控制平坦 比较复杂的控制台程,使用
AST还原控制|节点合并算法一
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
02-21 1740
维佳大佬在他的ppt里这样介绍节点合并算法:如果一个节点,拥有唯一的后继节点,且后继节点的前驱节点唯一,那么认为当前节点的跳转关系为单跳转。 单跳转关系,删除跳转链接,代码内容顺序合并。合...
AST还原技术专题:浅谈去控制平坦的思路及方法
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
03-29 2875
一. while-switch结构的控制这类平坦代码很简单,常见于经过obfuscator在线工具混淆后的控制平坦。一般代码段不会很长,常见的 switch-case 基本都在10...
去除控制平坦的defalt脚本
02-17
"去除控制平坦"的defalt脚本可能是一个工具或一套过程,用于恢复经过控制平坦处理的代码的原始控制结构。这个过程通常包括以下几个步骤: 1. **文件解析**:首先,脚本需要读取和解析经过控制平坦的...
论文研究-基于控制的代码混淆技术研究.pdf
07-22
新方法与基于垃圾代码的控制混淆变换方法比较, 结果表明, 新方法增加了代码抵抗攻击者的静态分析的能力, 增加了反编译以及逆向工程的难度, 既达到了很好的防御逆向工程攻击的效果, 又不会大量引入额外的系统开销。
C++反编译中控制图优方法研究
01-31
控制分块是反编译系统中基本的功能之一。介绍了控制分块方法,分析了C++语言与C语言的区别,指出了现有的控制分块方法用于C++逆向的局限性,提出了改进C++逆向程分块的方法,给出了基于模块特征识别的算法...
安卓逆向学习笔记之Frida 辅助分析ollvm控制平坦
03-09
### 安卓逆向学习笔记之Frida 辅助分析ollvm控制平坦 #### 引言 在深入探讨“安卓逆向学习笔记之Frida辅助分析ollvm控制平坦”这一主题之前,我们需要先了解几个关键概念:Frida、ollvm以及控制程...
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
AST还原控制|节点合并算法二
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
02-22 1186
在上一篇文章中,我们简单的合并了几个节点,今天来尝试还原另外一种情况的节点合并。先来看昨天还原后的代码:function test(cU, cV) { var cW = 1; ...
用angr去除o-llvm控制平坦
liumengdeqq的专栏
01-02 2516
更改这篇文章中最新版本的bug https://security.tencent.com/index.php/blog/msg/112 和补充这篇文章的环境搭建    1.配置mac中docker环境      (1)下载 https://download.docker.com/mac/stable/Docker.dmg      (2)可以按照这篇文章中传mac到docker文件 http
去控制平坦学习
szxpck的博客
07-14 4398
控制平坦是OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制和指令替换,这3种保护方式可以累加,对于静态分析来说混淆后代码非常复杂。 控制平坦的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行程。 例如一个常见的if-else分支结构的程序可以是这样: 经过控制平坦之后,得到了一个相当规整的程图: 控制平坦在代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。 混
超级反爬学习系列2篇-壳1代码分析,控制讲解
cyz52的博客
09-01 644
瑞数全程分析二 壳一代码分析初步分析控制讲解 二 壳一代码分析 初步分析 首先一般分析一个js,先将所有代码都压缩,看看总体的架构 可以看到壳1的代码并不多,大概1000行。 主要代码集中在最后一个函数大概700行。 其中几个重点一开始有一个变量,一个数组 看到一个while (1) 循环不出意外就是某数的控制平坦了。 仔细看一下这个控制,对后续做动态转静态有重要的作用 控制讲解 控制平坦主要思想就是不影响代码执行顺序的前提,将代码可读性降低 实际上通过_$Ps 拿到[10, 5, 8
平坦
weixin_34087307的博客
08-15 245
Flattening One of the common usages of object-object mapping is to take a complex object model and flatten it to a simpler model. You can take a complex model such as: public class Order { ...
js define 如何debug_对基于滑块点选的混淆JS的还原小感悟之去除控制(一)
weixin_26950847的博客
12-25 188
话不多说,直接干货,此次是想介绍一种纯基于js的方式来去除一种较为容易的控制。先上代码:可以看到函数体内部利用for语句和switch语句增加了阅读难度,而debug的时候更是恶心,所以我们迫切需要剥掉冗余的外壳,去伪存真。抽象语法树,简称AST,将JS代码抽象成树状结构,然后通过对树的“修剪”,最终实现简代码的作用。之前用estraverse和esprima做过一些,但是浅尝辄止。...
代码混淆之道——控制扁平与不透明谓词理论篇
dfdhxb995397的博客
08-17 1043
控制是指代码执行时指令的执行顺序。在各种控制逻辑的作用下,程序会沿着特定的逻辑顺序执行。一般控制逻辑包括有无条件分支、循环、函数调用等。 本文原创作者:i春秋签约作家——penguin_wwy 一、扁平的定义 本篇讲代码混淆的一个重要手段,控制扁平。 所谓控制是指代码执行时指令的执行顺序。在各种控制逻辑的作用下,程序会沿着特定的逻辑顺序执行。一般控制逻辑包括有\无条件分...
符号执行反混淆技术在OLLVM混淆代码中的应用
"本文档探讨了基于符号执行的反混淆方法,主要关注开源OLLVM项目中的混淆技术,包括控制平坦、虚假控制和指令替换。同时,介绍了如何利用符号执行引擎angr来对抗这些混淆策略。" 混淆技术是软件保护的一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值