180517 逆向-反控制流平坦化(符号执行脚本)

最新推荐文章于 2024-05-06 21:32:39 发布
最新推荐文章于 2024-05-06 21:32:39 发布
阅读量4.7k 收藏 4
点赞数
分类专栏: 逆向和保护 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/80357310
版权

控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转

正常流程如下
这里写图片描述

经混淆后的流程如下
这里写图片描述

破坏了代码块之间的关系后,整个程序的逻辑将很难辨认

符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系
由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了

符号执行反混淆的大体思路如上

找了一圈除了川大的实验室发了一篇论文,在github上闭源了一个框架以外就只有腾讯实验室给出了可用的完整脚本
依赖angr和barf
由于文章是一年前的关系,angr和barf的版本更新导致有一些API在原脚本上部分不可用,评论区找到了修复后的可用脚本,另外由于barf的版本还可能会有一些分歧,我们在评论区有讨论

图片引自腾讯实验室,详细分析和原理见原文

利用符号执行去除控制流平坦化(腾讯安全响应中心)

可用脚本

对于iscc的re3修复效果很显著
这里写图片描述

不过这个修复由于并不完全,仅是调整了基本块之间的顺序,所以汇编看起来还是比较蛋疼的
得益于IDA强大的Hex-ray插件,反编译以后的代码可读性被恢复的很高

下一步有空尝试一下Hook分发器来打出log的分析方法,将其视为一个VM来操作

奈沙夜影
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[.NET] 超难控制混淆UnpackMe
11-12
[.NET] 超难控制混淆UnpackMe[.NET] 超难控制混淆UnpackMe
去除控制平坦的工具deflat.py安装及使用
m0_49936845的博客
07-22 936
首先deflat.py需要一个库angr的支持,angr对python27较兼容,这里使用python27进行安装 安装angr: 方法1:(没有试验过) 使用pycharm中的安装库直接安装 方法2:
逆向学习_符号执行
最新发布
kitsch0x97的博客
05-06 931
符号执行(Symbolic Execution)是一种计算机科学领域的程序分析技术,用于确定执行每条程序路径所需的输入。通过采用抽象的符号代替具体值作为程序输入变量,得到关于程序中函数和变量的符号表达式,以及在程序路径上每个条件分支可能结果的约束条件。最后,通过求解程序路径积累的这些约束条件,确定执行该路径的可能输入。
angr尝试
九层台
12-16 655
中文简介添加链接描述 但是官方github上的pdf文档介绍的更详细。 测试了一下中文简介的内容大概就这些,只是测试加上个人理解,不一定正确不喜勿喷 #coding=utf-8 import angr b=angr.Project("./level2") print (hex(b.entry)) #程序的载入地址 print hex(b.loader.min_addr), hex(b.loa...
中关村2019逆向 Reverse lebel:控制平坦 / python字节码分析
q1uTruth的博客
08-17 508
flat 看到题目,难道是控制平坦??? https://blog.csdn.net/yangbostar/article/details/6204724 看着这个switch的形式很像是while用switch实现 src_leak 得到了一个cpp源文件,这里体现了题目名字源文件泄露了 ...
ast反混淆进阶--反控制平坦
jia666666的博客
09-14 1686
实现目的:标识符简 处理前: var _0xb28de8 = "3|1|2".spilt("|"), _0x8de8b2 = 0; while(true) { switch(_0xb28de8[_0x8de8b2++]) { case '1': var a = 1; continue; case '2': var b = 3; continue;
代码保护技术:控制混淆
hamster的博客
11-22 7047
文章大部分内容来源自《软件加密与解密》,本人新手小白只负责学习和整理。 代码混淆的目的是在不改变源程序的功能的同时让程序代码可读性大大降低,使其反编译成本超过通过反编译所带来的利益。根据Collberg等人将代码混淆分为布局混淆,数据混淆,控制混淆和预防混淆,其中研究较为广泛的是控制混淆,如控制平展算法和不透明谓词混淆等。 1. 控制 控制是程序在运行时指令(或陈述、子程序)...
去除控制平坦的defalt脚本
02-17
"去除控制平坦"的defalt脚本可能是一个工具或一套过程,用于恢复经过控制平坦处理的代码的原始控制结构。这个过程通常包括以下几个步骤: 1. **文件解析**:首先,脚本需要读取和解析经过控制平坦的...
论文研究-基于控制的代码混淆技术研究.pdf
07-22
新方法与基于垃圾代码的控制混淆变换方法比较, 结果表明, 新方法增加了代码抵抗攻击者的静态分析的能力, 增加了反编译以及逆向工程的难度, 既达到了很好的防御逆向工程攻击的效果, 又不会大量引入额外的系统开销。
C++反编译中控制图优方法研究
01-31
控制分块是反编译系统中基本的功能之一。介绍了控制分块方法,分析了C++语言与C语言的区别,指出了现有的控制分块方法用于C++逆向的局限性,提出了改进C++逆向程分块的方法,给出了基于模块特征识别的算法...
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
2. **图形视图**:利用IDA的反编译视图和控制图(CFG),分析程序的逻辑程。 3. **调试和动态分析**:使用IDA的调试器,设置断点,观察程序运行时的内存变和函数调用。 4. **编写脚本**:通过IDA的Python ...
去控制平坦学习
szxpck的博客
07-14 4383
控制平坦是OLLVM中使用到的一种代码保护方式,它还有2个兄弟-虚假控制和指令替换,这3种保护方式可以累加,对于静态分析来说混淆后代码非常复杂。 控制平坦的主要思想就是以基本块为单位,通过一个主分发器来控制程序的执行程。 例如一个常见的if-else分支结构的程序可以是这样: 经过控制平坦之后,得到了一个相当规整的程图: 控制平坦在代码上体现出来可以简要地理解为是while+switch的结构,其中的switch可以理解为主分发器。这一点在IDA的反汇编里面可以很明显地体现出来。 混
简单逆向13(angr,控制平坦)
m0_49936845的博客
07-24 501
诺莫13 开始 放入IDA: 查看程视图 这是一个控制平坦 比较复杂的控制台程,使用
js常见入门加密技术之控制平坦
mxd01848的博客
04-03 659
通过上述处理,代码中的控制语句被拆分成了多个小的语句块,并使用了一些无限循环和continue语句来增加代码复杂性。这种改变使得代码的执行程变得更加复杂和难以理解,增加了代码的混淆程度,从而提高了程序的安全性。具体而言,它会将这些语句拆分成多个小的、相互嵌套的语句,使得代码中的控制路径更加复杂、难以理解。以上是一个简单的例子,实际使用控制平坦技术时,可能会使用更加复杂的算法和变换方式来混淆代码。值得注意的是,控制平坦并不会改变程序的行为,它只是改变了程序的结构和执行程。
android 控制混淆 反向,.NET控制分析(二)-反混淆
weixin_42499692的博客
05-27 787
.NET控制分析(二)-反混淆前言本来想分成2块写的,因为有一部分简单,还有一部分很难,非常难。但是想想还是算了,一篇文章写完也可以,因为都是和反混淆有关的内容。不过估计文章会非常长,字数非常多。这篇文章还是要按顺序看,文章前半部分讲的是简单的,后半部分是难的,并且需要前半部分的一些知识。前半部分比较简单,会说一些比较通用的代码和思路。后半部分更有征对性,实战讲解ConfuserEx的控制混淆...
AST还原控制|节点合并算法一
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
02-21 1732
维佳大佬在他的ppt里这样介绍节点合并算法:如果一个节点,拥有唯一的后继节点,且后继节点的前驱节点唯一,那么认为当前节点的跳转关系为单跳转。 单跳转关系,删除跳转链接,代码内容顺序合并。合...
Frida和IDA分析OLLVM控制平坦
小龙在线
01-12 2571
简介:https://github.com/obfuscator-llvm/obfuscator/wiki/Control-Flow-Flattening 特征:常量很多,用来根据常量跳转到正确的位置。 分析控制平坦,主要是分析交叉引用,有两种方法,一种从输入参数开始分析交叉引用,一种是从输出结果分析交叉引用。 ...
JS加密入门之控制平坦2
mxd01848的博客
04-10 238
JS混淆加密是一种将JavaScript代码进行混淆和加密的技术,旨在使代码更难以阅读和理解,从而增加破解难度。控制平坦是其中一种常用的混淆技术,它可以使代码的控制程变得非常复杂,增加代码的可读性和可维护性的难度。以上代码可以加密和解密一个字符串,但是它非常容易被破解,因为加密和解密的过程都是固定的,没有任何随机性和变。如果您对文章内容有不同看法,或者疑问,欢迎到评论区留言,或者私信我都可以。如遇自己源码加密后没备份,可以找我们解决解出恢复源码,任何加密都可以。
符号执行简介
kelxLZ的博客
01-01 3980
转载自CTF ALL IN ONE 基本原理 符号执行起初应用于基于源代码的安全检测中,它通过符号表达式来模拟程序的执行,将程序的输出表示成包含这些符号的逻辑或数学表达式,从而进行语义分析。 符号执行可分为过程内分析和过程间分析(或全局分析)。过程内分析是指只对单个函数的代码进行分析,过程间分析是指在当前函数入口点要考虑当前函数的调用信息和环境信息等。当符号执行用于代码漏洞静态检测时,更多的是进行程序全局的分析且更侧重代码的安全性相关的检测。将符号执行与约束求解器结合使用来产生测试用例是一个比较热门的研究方

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值