OLLVM虚假控制流源码分析

原创 已于 2023-07-18 00:00:27 修改 · 702 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#混淆 #虚假控制流 #移动安全

于 2023-07-17 17:57:18 首次发布
文章介绍了LLVM中用于函数混淆的BogusControlFlow技术,包括runOnFunction函数的逻辑,检查输入参数,以及bogus函数如何按照给定概率对基本块进行混淆。在混淆过程中,createAlteredBasicBlock函数用于克隆基本块并处理PHINode和操作数映射。混淆方法涉及向基本块添加无用指令、修改条件判断等,增加代码分析难度。

文章目录

runOnFunction函数

if (ObfTimes <= 0) {
   
   
        errs()<<"BogusControlFlow application number -bcf_loop=x must be x > 0";
		return false;
      }
if ( !((ObfProbRate > 0) && (ObfProbRate <= 100)) ) {
   
   
        errs()<<"BogusControlFlow application basic blocks percentage -bcf_prob=x must be 0 < x <= 100";
		return false;
      }

const int defaultObfRate = 30, defaultObfTime = 1;

static cl::opt<int>
ObfProbRate("bcf_prob", cl::desc("Choose the probability [%] each basic blocks will be obfuscated by the -bcf pass"), cl::value_desc("probability rate"), cl::init(defaultObfRate), cl::Optional);

static cl::opt<int>
ObfTimes("bcf_loop", cl::desc("Choose how many time the -bcf pass loop on a function"), cl::value_desc("number of times"), cl::init(defaultObfTime), cl::Optional);

这里的ObfTimes对应过来的默认值就是1,对函数进行混淆的次数,ObfProbRate就是30,对基本块进行混淆的概率,分别是opt时传入的参数。

    // check for compatible
      for (BasicBlock &bb : F.getBasicBlockList()) {
   
   
        if (isa<InvokeInst>(bb.getTerminator())) {
   
   
          return false;
        }
      }

枚举这个函数的所有基本块,如果这个函数后面基本块中含有invoke(调用了某个函数),它就不执行了,就退出这个基本块。

if(toObfuscate(flag,&F,"bcf")) {
   
   
        bogus(F);
        doF(*F.getParent());
        return true;
      }

判断有没有bcf也就是虚假控制流,有的话就进入。

bogus函数

  if(ObfProbRate < 0 || ObfProbRate > 100){
   
   
        DEBUG_WITH_TYPE("opt", errs() << "bcf: Incorrect value,"
            << " probability rate set to default value: "
            << defaultObfRate <<" \n");
        ObfProbRate = defaultObfRate;
      }
 if(ObfTimes <= 0){
   
   
        DEBUG_WITH_TYPE("opt", errs() << "bcf: Incorrect value,"
            << " must be greater than 1. Set to default: "
            << defaultObfTime <<" \n");
        ObfTimes = defaultObfTime;
      }

首先进行判断这个次数和概率,是否符合条件,不符合的话会进行设置默认值。
紧接着就是一个大型的do while循环里面包含着的代码:

 		std::list<BasicBlock *> basicBlocks;
          for (Function::iterator i=F.begin();i!=F.end();++i) {
   
   
            basicBlocks.push_back(&*i);
          }

把所有的基本块放在basicblock list里面。
获取一个随机值,如果符合的话就进入

 if((int)llvm::cryptoutils->get_range(100) <= ObfProbRate){
   
   
              DEBUG_WITH_TYPE("opt", errs() << "bcf: Block "
                  << NumBasicBlocks <<" selected. \n");
              hasBeenModified = true;
              ++NumModifiedBasicBlocks;
              NumAddedBasicBlocks += 3;
              FinalNumBasicBlocks += 3;
              // Add bogus flow to the given Basic Block (see description)
              BasicBlock *basicBlock = basicBlocks.front();
              addBogusFlow(basicBlock, F);
            }else{
   
   
              DEBUG_WITH_TYPE("opt", errs() << "bcf: Block "
                  << NumBasicBlocks <<" not selected.\n");
            }

每个基本块都有ObfProbRate的概率被混淆,即基本块调用了addBogusFlow函数。
这个函数的作用就是对指定函数的每个基本块以ObfProbRate的概率去进行调用函数混淆。

目前源码:

define dso_local i32 @main(i32 %argc, i8** %argv) #0 {
   
   
entry:
  %retval = alloca i32, align 4
  %argc.addr = alloca i32, align 4
  %argv.addr = alloca i8**, align 8
  %a = alloca i32, align 4
  store i32 0, i32* %retval, align 4
  store i32 %argc, i32* %argc.addr, align 4
  store i8** %argv, i8*** %argv.addr, align 8
  %0 = load i8**, i8*** %argv.addr, align 8
  %arrayidx = getelementptr inbounds i8*, i8** %0, i64 1
  %1 = load i8*, i8** %arrayidx, align 8
  %call = call i32 @atoi(i8* %1) #2
  store i32 %call, i32* %a, align 4
  %2 = load i32, i32* %a, align 4
  %cmp = icmp eq i32 %2, 0
  br i1 %cmp, label %if.then, label %if.else

if.then:                                          ; preds = %entry
  store i32 1, i32* %retval, align 4
  br label %return

if.else:                                          ; preds = %entry
  store i32 10, i32* %retval, align 4
  br label %return

return:                                           ; preds = %if.else, %if.then
  %3 = load i32, i32* %retval, align 4
  ret i32 %3
}

addBogusFlow函数1

 Instruction *i1 = &*basicBlock->begin()
最低0.47元/天 解锁文章
OLLVM控制流平坦化源码分析+魔改
寻梦&之璐
07-07 2681
需要把vertor里面的第一个基本块即入口基本块单独拿出来进行处理:对入口基本块进行判断,如果是无条件跳转则不进行任何处理,否则需要找到最后一条指令,将整个if结构给split,Module是指模块,Function模块下的函数,BasicBlock函数下的基本块,Instruction 基本块下的IR指令。创建一个switch指令,位置是在loopentry基本块下,且创建了0个case,然后设置了条件为load,就上面的load。紧接着创建一个基本块,然后在基本块里面创建一个跳转指令,
ollvm混淆有哪些,怎么实现的,分析的方法有哪些,分别怎么做?
SXXYNHHXX的博客
03-21 1701
它的强大之处在于基于 LLVM IR(中间表示)进行混淆,这意味着无论是 C 还是 C++ 代码,都能在编译过程中被深度改造,变得更加难以理解。今天,我想聊聊 OLLVM 的主要混淆手段,它们是如何实现的,以及在实际分析中如何应对它们。这样一来,代码的执行路径变得难以预测,控制流图(CFG)在 IDA 里看上去会像一团乱麻。,让反编译器生成的控制流图变得更加复杂,但实际上这些逻辑永远不会被执行。,逐步拆解代码结构。,所有的基本块都会存放在一个循环里,并通过一个。正常情况下,一个函数的执行流是线性的,按照。
ollvm学习——虚假控制流
qq_42372980的博客
08-12 566
虚假控制流 程序先收集函数中所有的 BasicBlock 和 alloca 指令,然后再随机挑选 BasicBlock 加上虚假控制流。这个 Pass 通过被选中的 BasicBlock 生成虚假的 BasicBlock,然后再使用不透明谓词将这两个 BasicBlock 连在一起。 在构建虚假BasicBlock时,首先复制原来的original BasicBlock,然后再修复虚假的 BasicBlock,例如修复 phi 节点和编译时生成的 metadata。 构造虚假BasicBlock的思路
ollvm源码分析
king_jie0210的专栏
08-15 2361
文章转载自:http://www.ench4nt3r.com/2018/02/26/post/ 分割基本块-mllvm -split: activates basic block splitting. Improve the flattening when applied together. -mllvm -split_num=3: if the pass is act...
debogus:使用Angr对OLLVM伪造控制流进行模糊处理
05-22
恶作剧 利用angr符号执行去除虚假控制流 用法 python debogus.py [-h] [-f FILE] [-s START] [-e END] 可选参数: -h, --help show this help message and exit -f FILE, --file FILE The path of binary file to deobfuscate -s START, --start START Start address of target function -e END, --end END End address of target function 例如: python debogus.py -f attachment -s 404350 -e 404AD5
Ollvm 重写BCF虚假控制流
flygle~的博客
08-22 865
虚假控制流
认识一下ollvm的三种混淆(指令替换,虚假控制流程,控制流平坦化)
SXXYNHHXX的博客
11-07 4403
描述这种混淆技术的目标只是将标准的二进制运算符(如加法、减法或布尔运算符)替换为功能等效但更复杂的指令序列。当有多个等效的指令序列可用时,随机选择一个。这种混淆相当简单,并且不会增加很多安全性,因为可以通过重新优化生成的代码来轻松删除它。但是,如果伪随机生成器的种子具有不同的值,则指令替换会带来生成的二进制的多样性。目前,只有整数运算符可用,因为替换浮点值的运算符会带来舍入误差和不必要的数值不准确。可用的编译器选项mllvm -sub:激活指令替换:如果通道已激活,则将其应用于函数 3 次。
别让 so 裸奔!移植 OLLVM 到 NDK 并集成到 Android Studio
最新发布
09-09 1842
在 Android 应用安全中,Native 层 so 库往往是最容易被逆向分析的目标。无论是游戏的核心逻辑,还是 App 的关键算法,一旦 so 被反编译,核心代码就可能暴露无遗。传统的 Java 层混淆工具(如 ProGuard、R8)对 C/C++ 代码无能为力,因此NDK 层代码的保护成了安全加固中的难点。在编译阶段对 so 进行混淆处理,让逆向难度大幅提升。LLVM 生态中有一个安全扩展 ——,它在编译流程里插入了混淆 Pass,能对 C/C++ 代码做控制流平坦化、虚假控制流、指令替换。
ollvm
04-02
- **虚假控制流注入(False Control-flow Injection)**: 向程序中插入无意义的操作路径,干扰动态追踪工具的工作机制。 - **指令子域编码(Instruction Substitution and Domain Encoding)**: 替换标准操作码并...
ollvm源码分析 - Pass之Flattening
小蓝人敌法的专栏
10-21 1058
概述 承接上一篇Pass之SplitBasicBlock源码分析,这一篇文章继续分析ollvm的核心Pass Flattening, 也就是代码流程平坦化 为了描述的完整性,引用一段SplitBasicBlock分析文章中的一段话来说一下什么流程平坦化 平坦化一句话概括就是重组原始代码执行流程,把原本易于阅读的代码流程重组成一个switch case形式的代码执行流程,大大降低代码的直观...
ollvm源码分析 - Pass之SplitBaiscBlocks
小蓝人敌法的专栏
10-17 1233
概述 SplitBasicBlocks是一个llvm体系下的标准Pass风格的代码处理组件,继承自FunctionPass。 根据llvm的官方文档描述,这种Pass只会作用于Function这种粒度,也就是llvm在编译流程里面,只有对单个Function应用Pass逻辑的时候, 才会调用继承自FunctionPass的各种Pass(包括llvm自带的Pass和普通开发人员自定义的Pass...
ollvm源码分析虚假控制流(2)
qq_42308741的博客
03-09 1088
参考网站:Obfuscator-llvm源码分析 参考网站:ollvm源码分析 Pass之BogusControlFlow 实现功能是:添加虚假控制流 1 命令 命令 解析 -mllvm -bcf 激活虚假控制流 -mllvm -bcf_loop 若被激活,应用3次虚假控制流,默认为1 -mllvm -bcf_prob=40 若被激活,基本块的40%被混淆,默认为30% 2 代码分析 2.1 入口函数runOnFunction 继承了FunctionPass,因此它的入口函数即
LLVM 源码分析 (二)ModulePass 类
ychw365的专栏
03-29 3051
上一篇写的是关于pass 类  这个类是一个抽象类  具体实现是通过例如modulePass FunctionPass实现的 本文将重点介绍module pass  这个Pass 可以操作整个module  是以文件进行区分的。ModulePass 可以操作Module 下的大部分 基本是万能的但是不是最方便的。我们需要根据需要选择 FunctionPass  LoopPass 等 vs20
ollvm源码分析控制流扁平化(3)
qq_42308741的博客
03-09 1038
参考网站:ollvm源码分析 参考网站:Obufuscator-llvm源码分析 Pass之flattening 实现功能是:增加switch-case语句,使其扁平化。 1 命令 命令 解析 -mllvm -fla 激活控制流扁平化 2 代码分析 2.1 入口函数runOnFunction Flattening继承了FunctionPass,因此它的入口函数即为runOnFunction。 bool Flattening::runOnFunction(Function &F)
Obfuscator-llvm源码分析
网易数帆社区博客
07-11 4270
本文来自 网易云社区 。越来越多的so文件采用了llvm进行加固,逆向的小伙伴表示不能愉快的玩耍了。本文对Obfuscator-llvm实现混淆的方式进行讲解,希望能帮助到大家。1. O-llvm介绍O-llvm是基于llvm进行编写的一个开源项目(https://github.com/obfuscator-llvm/obfuscator),它的作用是对前端语言生成的中间代码进行混淆,目前在市场上...
LLVM 源码分析(五)BasicBlockPass
ychw365的专栏
04-01 4732
BasicBlockPass 主要增加 doInitaliztion(Function &) ;doFinalization(Function &);runOnBasicBlock(); 注意参数为Funtion & 和FunctionPass 的Module 引用有区别 其实都和前面相似 BasicBlockPass 比FunctionPass粒度更小  使用方式如下
ollvm源码分析 - Pass之Substitution
小蓝人敌法的专栏
10-18 933
ollvm源码分析 - Pass之Substitution 概述 ollvm这个项目的Substitution这个Pass源码比较简单,功能也很明确,那就是进行操作符替换,那要替换哪些操作符呢?我直接抛出来吧,ollvm中替换了 加 减 与 或 异或这几种 那到底怎么替换的呢?直接抛出总结的结果吧 加法拆分 a = b + c => a = b - (-c) a =...
LLVM编译原理和使用
热门推荐
六神的博客
11-12 6万+
LLVM简介: LLVM是构架编译器(compiler)的框架系统,以C++编写而成,用于优化以任意程序语言编写的程序的编译时间(compile-time)、链接时间(link-time)、运行时间(run-time)以及空闲时间(idle-time),对开发者保持开放,并兼容已有脚本。 LLVM最早的时候是Illinois的一个研究项目,主要负责人是Chris Lattner,他现在就职于A...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值