基于lldb的trace脚本<辅助算法分析,算法还原,以及算法验证>

最新推荐文章于 2025-05-27 21:52:10 发布
最新推荐文章于 2025-05-27 21:52:10 发布
阅读量796 收藏 28
点赞数 12
分类专栏: 技术分享 文章标签: 算法 elasticsearch 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2403_87755661/article/details/145443301
版权

由于工作的原因,在逆向分析中,经常遇到强混淆,vm虚拟化等加固方案。在分析中,痛不欲生。为了能在逆向过程中,还能安心的喝口咖啡,同时还能分析/还原各种高混淆/vm虚拟化的代码。参考函数追踪的原理,弄了个指令级的lldb-trace脚本。

[前瞻]:
平时分析过程中,难免遇到c/c++函数,以及objc函数。而objc函数中,又包含了retain,release...等函数。故而,在trace过程中,objc函数形如,retain,release..等等都直接忽略。而对于c++函数,类的构造函数,析构函数,系统函数等,也可以做过滤处理。对于objc函数objc_msgsend,我们可以做重点分析:在于你需不需要分析这个函数。而我不需要,所以,我只需要知道objc_msgsend函数的函数即可,而对应的函数实现,我就不trace了。

框架分析:

1,对不同的平台而言,做不同的配置
2,忽略的函数,都放在忽略的函数列表中
3,objc_msgsend函数需要特殊处理,故放在受保护的函数列表中
4,trace过程中,需要读取寄存器的值,所以,用正则匹配出上一条指令所有的寄存器

更新:

1,trace指令 参数的优化,绝大部分参数,都有默认值
2,tracing中,结束地址可以有多个(在某些混淆情况下,不确定结束地址在哪,可以多设置几个结束地址,用";"分割)
3,增加了暂停其他线程的 可选参数
4,增加了只trace本模块的 可选参数
5,增加了 进度 信息(防止以为脚本卡死…等的不耐心…从而关闭了 lldb
6,对msg_send 函数的参数解开发中…
7,增加了 对还原的算法检测脚本

脚本怎么使用:

1,在你准备追踪的地方下断点:(我的断点,从breakpoint函数 si 进入到 a函数的 第一行)


2,导入lldbTrace.py脚本。(你可以设置,默认的 log 文件路径。如果不设置,默认和脚本同位置)

3,设置一个停止追踪的地址:(当前a函数,我把结束地址设为 最后地址,和 ret 地址。为了查看debug信息,我把log类型设置成了debug)

4,设置好,直接回车,结果如下:

脚本在git上:

基于lldb的汇编指令级trace脚本

脚本还有很多不完善的地方,需要慢慢优化。
不过利用trace 结果,能还原 手写的算法,以及强混淆 或者 某些 vm虚拟机。

某手撸 aes 算法的trace结果:

基于trace脚本的基础上,对trace结果,以及实际分析中,做了一个 自动检测还原的函数 的脚本。利用脚本,不用每次都去动态调试,对照比较结果。

算法还原检测脚本 简介:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

#!/usr/bin/python3

# -*- encoding: utf-8 -*-

#@File    :   test.py

#@Time    :   2021/07/29 15:15:38

#@Author  :   wt

from wtpytracer import *

####################

## command :

##      python3 test.py ~/Desktop/1627533881instrace.log

## 定义需要检测的 变量 : flag + '_' + 地址 + '_' + 寄存器

Check_0x10000393c_w8 = 'Check_0x10000393c_w8'

### 翻译的测试代码

def f(x):

    ret = 0

    for index in range(x):

        ret = ret + index

        check_value(ret,Check_0x10000393c_w8) # check ret 和 0x10000393c 的 w8 的寄存器值

    return ret + x

if __name__ == '__main__':

    import sys

    args_list = sys.argv

    if len(args_list) != 2 :

        exit()

    file_name = args_list[1]

    try:

        set_trace_data(Check_0x10000393c_w8)

        parser_trace_log_file(file_name)

        enable(CheckFunctionTracer())

        f(5)

    finally:

        disable()

具体操作如下:

<a>,,在ida中,找到需要还原的算法(可以是汇编,也可以是伪代码),翻译成对应的python代码


<b>,利用lldbTrace.py脚本,把需要翻译的函数trace一哈。结果如下:


<c>,在ida伪代码中,切换到对应的汇编,对照trace结果,确定具体检测的地址。因为trace,当前打印的是上一句代码执行后的寄存器值。所以,我们把check的地址,定义为 0x10000393c,寄存器为 w8


<d>,,定义检测的 变量 Check_0x10000393c_w8 = ‘Check_0x10000393c_w8’ 。在翻译的代码中,添加检测函数 check_value(ret,Check_0x10000393c_w8) 。在解析tracelog文件之前,设置check的相关信息 set_trace_data(Check_0x10000393c_w8)

<e>,用python 调用此脚本,并传入 tracelog文件的路径。结果如下:

模块代码:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

#!/usr/bin/python3

# -*- encoding: utf-8 -*-

#@File    :   wtpytracer.py

#@Time    :   2021/07/27 18:17:18

#@Author  :   wt

import re

import sys

import inspect

from collections import OrderedDict

class TracebackFancy:

    def __init__(self, traceback):

        self.t = traceback

    def getFrame(self):

        return FrameFancy(self.t.tb_frame)

    def getLineNumber(self):

        return self.t.tb_lineno if self.t is not None else None

    def getNext(self):

        return TracebackFancy(self.t.tb_next)

    def __str__(self):

        if self.t is None:

            return ""

        str_self = "%s @ %s" % (

            self.getFrame().getName(), self.getLineNumber())

        return str_self + "\n" + self.getNext().__str__()

class ExceptionFancy:

    def __init__(self, frame):

        self.etraceback = frame.f_exc_traceback

        self.etype = frame.exc_type

        self.evalue = frame.f_exc_value

    def __init__(self, tb, ty, va):

        self.etraceback = tb

        self.etype = ty

        self.evalue = va

    def getTraceback(self):

        return TracebackFancy(self.etraceback)

    def __nonzero__(self):

        return self.etraceback is not None or self.etype is not None or self.evalue is not None

    def getType(self):

        return str(self.etype)

    def getValue(self):

        return self.evalue

class CodeFancy:

    def __init__(self, code):

        self.c = code

    def getArgCount(self):

        return self.c.co_argcount if self.c is not None else 0

    def getFilename(self):

        return self.c.co_filename if self.c is not None else ""

    def getVariables(self):

        return self.c.co_varnames if self.c is not None else []

    def getName(self):

        return self.c.co_name if self.c is not None else ""

    def getFileName(self):

        return self.c.co_filename if self.c is not None else ""

class ArgsFancy:

    def __init__(self, frame, arginfo):

        self.f = frame

        self.a = arginfo

    def __str__(self):

        args, varargs, kwargs = self.getArgs(), self.getVarArgs(), self.getKWArgs()

        ret = ""

        count = 0

        size = len(args)

        for arg in args:

            ret = ret + ("%s = %s" % (arg, args[arg]))

            count = count + 1

            if count < size:

                ret = ret + ", "

        if varargs:

            if size > 0:

                ret = ret + " "

            ret = ret + "varargs are " + str(varargs)

        if kwargs:

            if size > 0:

                ret = ret + " "

            ret = ret + "kwargs are " + str(kwargs)

        return ret

    def getNumArgs(wantVarargs=False, wantKWArgs=False):

        args, varargs, keywords, values = self.a

        size = len(args)

        if varargs and wantVarargs:

            size = size + len(self.getVarArgs())

        if keywords and wantKWArgs:

            size = size + len(self.getKWArgs())

        return size

    def getArgs(self):

        args, _, _, values = self.a

        argWValues = OrderedDict()

        for arg in args:

            argWValues[arg] = values[arg]

        return argWValues

    def getVarArgs(self):

        _, vargs, _, _ = self.a

        if vargs:

            return self.f.f_locals[vargs]

        return ()

    def getKWArgs(self):

        _, _, kwargs, _ = self.a

        if kwargs:

            return self.f.f_locals[kwargs]

        return {}

class FrameFancy:

    def __init__(self, frame):

        self.f = frame

    def getCaller(self):

        return FrameFancy(self.f.f_back)

    def getLineNumber(self):

        return self.f.f_lineno if self.f is not None else 0

    def getCodeInformation(self):

        return CodeFancy(self.f.f_code) if self.f is not None else None

    def getExceptionInfo(self):

        return ExceptionFancy(self.f) if self.f is not None else None

    def getName(self):

        return self.getCodeInformation().getName() if self.f is not None else ""

    def getFileName(self):

        return self.getCodeInformation().getFileName() if self.f is not None else ""

    def getLocals(self):

        return self.f.f_locals if self.f is not None else {}

    def getArgumentInfo(self):

        return ArgsFancy(

            self.f, inspect.getargvalues(

                self.f)) if self.f is not None else None

class TracerClass:

    def callEvent(self, frame):

        pass

    def lineEvent(self, frame):

        pass

    def returnEvent(self, frame, retval):

        pass

    def exceptionEvent(self, frame, exception, value, traceback):

        pass

    def cCallEvent(self, frame, cfunct):

        pass

    def cReturnEvent(self, frame, cfunct):

        pass

    def cExceptionEvent(self, frame, cfunct):

        pass

tracer_impl = TracerClass()

data_dic = {}

old_trace_func = None

def parser_flag(flag):

    import re

    aa = re.split(r'_',flag)

    if len(aa) != 3 :

        return None,None

    return aa[1],aa[2]

class CheckFunctionTracer():

    def callEvent(self, frame):

        if 'check_value' == frame.getName():

            flag = frame.getArgumentInfo().getArgs()['check_flag']

            value = frame.getArgumentInfo().getArgs()['value']

            addr,register = parser_flag(flag)

            if addr in data_dic and register in data_dic[addr]:

                run_index = data_dic[addr][register]['run_index']

                data_len = len(data_dic[addr][register]['data'])

                if run_index >= data_len:

                    print('*** err : at address : {} . run_index : {} out of rang'.format(addr,run_index))

                    return

                if value == data_dic[addr][register]['data']['{}'.format(run_index + 1)] :

                    print('check : {} at {} times,match.'.format(addr,run_index + 1))

                    data_dic[addr][register]['run_index'= run_index + 1

            # print("->>LoggingTracer : call " + frame.getName() + " from " + frame.getCaller().getName() + " @ " + str(frame.getCaller().getLineNumber()) + " args are " + str(frame.getArgumentInfo()))

# @ check_flag 为 携带了地址,和寄存器名称

# @ value 为当前需要 check 的值

# 在 sys.settracer设置的回调中,只接管此函数

def check_value(value,check_flag):

    pass

def set_trace_data(check_flag):

    global data_dic

    addr,register = parser_flag(check_flag)

    if not addr or not register :

        print('err : check_flag is wrong.')

        return

    if addr in data_dic:

        data_dic[addr][register] = {

            'data':{},

            'run_index':0  

        }

    else:

        addr_dic = {

            register:{

                'data':{},

                'run_index':0

            }

        }

        data_dic[addr] = addr_dic

def add_data_in_data_dic(addr,register,value):

    global data_dic

    cur_reg_dic = data_dic[addr][register]

    data_len = len(cur_reg_dic['data'])

    data_dic[addr][register]['data']['{}'.format(data_len + 1)] = value

def parser_trace_log_file(fileName):

    global data_dic

    file = open(fileName)

    while True:

        lines = file.readlines(100000)

        if not lines:

            break

        for line in lines:

            matchObj = re.match(r'\s*(\S+)\s+',line,re.M|re.I)

            if matchObj:

                addr = str(matchObj.group()).replace(' ','')

                if addr in data_dic:

                    reg = data_dic[addr]

                    for register in data_dic[addr].keys():

                        register_out = re.findall(register +r'  : (\S+)',line)

                        if register_out:

                            register_value = int(register_out[0],16)

                            add_data_in_data_dic(addr,register,register_value)

    file.close()

    # {'1234':{'1':0,"2":1}}  # flag : {...}  address:{'x0':{data:{},run_index:0},'x1':{data:{},run_index:0}}

def the_tracer_check_data(frame, event, args = None):

    global data_dic

    global tracer_impl

    code = frame.f_code

    func_name = code.co_name

    line_no = frame.f_lineno

    if tracer_impl is None:

        print('@@@ tracer_impl : None.')

        return None

    if event == 'call':

        tracer_impl.callEvent(FrameFancy(frame))

    return the_tracer_check_data

def enable(tracer_implementation=None):

    global tracer_impl,old_trace_func

    if tracer_implementation:

        tracer_impl = tracer_implementation  # 传递 工厂实力的对象

    old_trace_func = sys.gettrace()

    sys.settrace(the_tracer_check_data) # 注册回调到系统中

def check_run_ok():

    global data_dic

    for addr,addr_dic in data_dic.items():

        for _,reg_dic in addr_dic.items():

            if reg_dic['run_index'== len(reg_dic['data']):

                print('->>> at {} check value is perfect.'.format(addr))

            else:

                print('*** err : at {} check {} times.'.format(addr,reg_dic['run_index']))

def disable():

    check_run_ok()

    global old_trace_func

    sys.settrace(old_trace_func)

DTrace
fishmai的专栏
06-04 3126
很少有人听过 DTrace,它是隐藏在 OS 中的小宝藏。DTrace 是强大的 debug 工具 - 因为它拥有极其灵活的特性,并且因为与其它工具差异很大而可能相对不那么有名。 许多时候你的 app 的真正的用户或测试人员会看到一些意外的行为。DTrace 可以让你无需重启 app 就能够在生产版本上回答关于 app 的任何问题。 动态追踪 大概 10 年前,Sun Micro
LLDB调试神器:提升你的调试效率
gitblog_00075的博客
05-13 476
LLDB调试神器:提升你的调试效率 LLDB A collection of LLDB aliases/regexes and Python scripts to aid in your debugging sessions 项目地址: https://gitco...
LLDB中的各种关键调试指令你都玩过吗?
Holothurian
06-05 344
LLDB源码中的调试指令 命令解释器初始化时、先加载所有的命令字典、key为对应的命令、value为命令对应的对象 #define REGISTER_COMMAND_OBJECT(NAME, CLASS) \ m_command_dict[NAME] = std::make_shared<CLASS>(*this); void CommandInterpreter::LoadCommandDictionary()
Mac上使用DTrace检测MySQL的初步实验
zzrisme的博客
10-17 522
Mac上使用DTrace检测MySQL的初步实验背景知识步骤关闭Mac SIP编写DTrace脚本执行DTrace脚本工作原理解释更多探索参考 背景知识 BPF是Linux上新兴的性能跟踪工具,其中一项重要的技术是“动态插桩”。关于BPF和动态插桩可以参考BPF相关书籍,比如参考1。在Mac上可以使用DTrace来实现类似的动态插桩功能,这里通过一个小实验向大家介绍这一工具的使用方法,给大家提供一些入门级的感性认识。 步骤 关闭Mac SIP 重启Mac,开机时立刻按住Command + r 不放,进入恢复
Xcode 调试技巧
weixin_34309435的博客
08-02 153
  【前言】:本篇为同事崔桂祥分享资料。   随着Xcode 5的发布,LLDB调试器已经取代了GDB,成为了Xcode工程中默认的调试器。它与LLVM编译器一起,带给我们更丰富的流程控制和数据检测的调试功能。LLDB为Xcode提供了底层调试环境,其中包括内嵌在Xcode IDE中的位于调试区域的控制面板,在这里我们可以直接调用LLDB命令,示例如下: 1.必备篇 1.1 打印变量:p...
基于lldbtrace脚本辅助算法分析算法还原,以及算法验证
2503_90751938的博客
04-01 628
123456789101112131415161718192021222324252627282930313233343536373839fromimport## 定义需要检测的 变量 : flag + '_' + 地址 + '_' + 寄存器### 翻译的测试代码deff(x):0forin(x):index# check ret 和 0x10000393c 的 w8 的寄存器值returnxifimport。
NOIP2011算法优化精要:实用技巧与案例分析
本文旨在全面探讨NOIP2011中的算法优化问题,从基础到高级层面,涵盖时间与空间复杂度分析、常见数据结构优化应用、贪心、动态规划以及搜索算法的优化技巧。通过案例分析与实战演练,文章深入实际问题的算法选择与...
算法实现与工具】编程语言应用:C++与Python在规划中的角色
本章将探讨编程语言选择的几个基本原则,以及为何有些语言在特定场合下更受青睐。 ## 1.1 编程语言选择的重要性 编程语言是实现软件功能的基石,它直接影响到开发效率、性能、可维护性以及跨平台能力。在当今多样...
【自动化调试脚本】:Turbo Debugger脚本编写,实现流程自动化
![【自动化调试脚本】:Turbo Debugger脚本编写,实现流程自动化]...接着,文章通过实践案例分析,详细阐述了脚本编写的基础实践、中级
TRACE32在大型项目中的应用:优化与管理策略
![TRACE32在大型项目中的应用:优化与管理策略]...同时,本文将分析TRACE32在软件优化、项目管理及高级应用中的策略和效果,并展望TRACE32的未来发展趋势与面临的挑
MAS_AIO脚本调试技巧:快速定位问题所在
![MAS_AIO脚本调试技巧:快速定位问题所在]...第三部分强调了性能分析与优化、自动化测试与持续集成、以及高级调试技术如内存泄漏检测和多线程调试。最后,通过案例研究,
动态追踪技术漫谈
juary_的专栏
07-21 6285
关于作者 大家好,我是章亦春,网名 agentzh。很多朋友可能是通过我做的一些开源项目了解到我的,比如我创立的OpenResty 开源项目,再比如我编写的很多 Nginx 的第三方模块,我从大学时代就开始贡献的 Perl 开源模块,以及最近一些年写的很多 Lua 方面的库。我的兴趣比较广泛,喜欢抽象层次很高也比较花哨的东西,比如函数式和逻辑式编程语言;同时又对很底层的东西非常感兴趣,比如操
DTRACE简介之完结篇3
weixin_34392435的博客
10-17 188
https://blogs.oracle.com/swan/entry/dtrace%E7%AE%80%E4%BB%8B_3 DTRACE简介之完结篇 By samwan on 四月 13, 2007             已经有好长一段时间没有更新blog了,不是我懒,确实是这段时间太忙。工作加上生活,算了,不找借口了,还是来把DTRACE简介作个完结吧。本来开始写的时候只准备用一篇文章...
内核trace框架
qq_42584874的博客
03-14 3797
Linux内核trace ​ 从广义上讲,linux中的跟踪系统由三层组成:前端、跟踪框架和事件源 ​ 事件源是跟踪数据的来源,跟踪框架运行在负责数据收集、计数的内核中,如果它支持内核编程跟踪程序(例如:eBPF),它还以有效的方式执行聚合、汇总和统计。跟踪前端工具提供了与跟踪框架通信的用户界面,使用后处理跟踪器(如果有)进行统计、汇总和聚合采样,并向最终用户进行结果可视化。 术语 性能分析:性能分析的目的是为了获取跟踪事件的样本 跟踪:跟踪记录所有的trace事件 探针:动态或者静态代码中的一种插装
【漫话机器学习系列】275.GrabCut 算法——用于去除图片背景(Grabcut For Removing Image Backgrounds)
IT古董
05-24 773
GrabCut 是由微软剑桥实验室于 2004 年提出的一种交互式图像前景分割算法。相比传统的图像分割方法,它的亮点是:支持用户轻松交互,只需简单画个矩形;基于高斯混合模型(GMM)与图割(Graph Cut)优化;分割效果细腻,适用于复杂背景下的图像处理。GrabCut 是一项结合图割与 GMM 的强大图像分割算法;通过手动圈定目标区域,就能自动判断前景与背景;适合中等难度的抠图任务,是 OpenCV 实战中的常用技能之一。
016搜索之广度优先BFS——算法备赛
最新发布
2401_82484471的博客
05-27 668
广度优先搜索是一种逐层遍历的方式,是图论,树论的基本搜索方式,在决策类问题上也有应用。 算法的关键是准备一个`节点队列`,每遍历一个节点将其所有未访问的子节点(或所有的邻接节点)入队,遍历完一个节点后及时从队列中出队。当队列为空遍历结束。 BFS作为基础搜索算法,其逐层扩散的特点在很多高级算法有着广泛的应用,如`Djstra`算法就是用优先队列实现的`BFS`。
题目 3341: 蓝桥杯2025年第十六届省赛真题-抽奖
m0_75262437的博客
05-27 1041
题目 3341: 蓝桥杯2025年第十六届省赛真题-抽奖时间限制: 2s 内存限制: 192MB 提交: 415 解决: 105题目描述LQ 商场为了回馈广大用户,为在此消费的用户提供了抽奖机会:抽奖机有三个转轮,每个转轮上都分布有 n 个数字图案,标号为 1 ∼ n ,按照从 1 到 n 顺序转动,当转到第 n 个图案时会从第一个继续开始。奖项如下:1)三个相同的图案,积分 +200;2)两个相同的图案,积分 +100;
DeepSeek 赋能智能安防:从算法革新到场景落地的全解析
邓邓子的博客
05-27 849
随着人工智能技术的快速发展,智能安防系统迎来了新的变革机遇。本文聚焦 DeepSeek 在智能安防系统中的应用,深入剖析其基于 Transformer 架构与混合专家架构的核心技术原理。详细阐述 DeepSeek 在智能监控预警、门禁身份识别、智能分析决策及系统运维优化等场景中的实践应用,结合智慧社区、智慧监狱等实际案例,展现其高精度识别、高效决策优势。同时,客观分析DeepSeek应用过程中面临的数据安全、算法优化等挑战,并对其与物联网、大数据融合的未来发展方向进行展望,为智能安防领域技术创新提供参考。
java 代码查重(五)比较余弦算法、Jaccard相似度、欧式距离、编辑距离等在计算相似度的差异
我的E家
05-24 1261
为了实现更准确对比2个Java代码的相似度(用于Java课程作业查重场景), 可以将Java源码原封不动保存到.java文件中,可以得到更准确结果,且不同相似度算法下计算的相似度差异一致。比较源文件和目标文件都是标准的Java代码(.java代码),唯一区别在于目标文件含有注释,源文件没有注释。初步结论: 相同的Java代码复制到文本文件中(.txt文件),不同算法检查的相似度差异较大。比较源文件和目标文件都是标准的Java代码,唯一区别在于目标文件含有注释,源文件没有注释。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值