Unidbg Trace 反 OLLVM 控制流平坦化(fla)

Unidbg Trace 反 OLLVM 控制流平坦化
最新推荐文章于 2025-03-31 12:15:32 发布
原创 最新推荐文章于 2025-03-31 12:15:32 发布 · 710 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #算法 #逆向 #网络安全 #汇编 #OLLVM

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

目标 so 分析

目标方法反汇编视图如下

word/media/image1.png

F5 反汇编代码如下,很明显通过 fla 隐藏了真实的执行流

__int64 __usercall dynamicBase64Encode@<X0>(const unsigned __int8 *a1@<X0>, unsigned __int64 a2@<X1>, __int64 a3@<X8>)
{
  int v3; // w8
  int v4; // w8
  unsigned __int8 *v5; // x0
  int v6; // w8
  unsigned __int8 *v7; // x0
  __int64 result; // x0
  int i; // [xsp+20h] [xbp-60h]
  unsigned __int64 v11; // [xsp+30h] [xbp-50h]
  int v12; // [xsp+3Ch] [xbp-44h]
  int v13; // [xsp+40h] [xbp-40h]
  char v16[24]; // [xsp+60h] [xbp-20h] BYREF
  __int64 v17; // [xsp+78h] [xbp-8h]

  v17 = *(_QWORD *)(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40);
  generateDynamicBase64Alphabet(a2);
  sub_29574(a3);
  v13 = 0;
  v12 = -6;
  v11 = 0LL;
  do
  {
    if ( v11 >= a2 )
      v3 = 491;
    else
      v3 = 26962;
    for ( i = v3; ; i = 24464 )
    {
      while ( 1 )
      {
        while ( 1 )
        {
          while ( 1 )
          {
            while ( 1 )
            {
              while ( 1 )
              {
                while ( 1 )
                {
                  while ( i == 491 )
                  {
                    if ( v12 <= -6 )
                      v6 = 4827;
                    else
                      v6 = 2995;
                    i = v6;
                  }
                  if ( i != 2995 )
                    break;
                  v7 = (unsigned __int8 *)sub_2E280(v16, (v13 << 8 >> (v12 + 8)) & 0x3F);
                  std::string::push_back(a3, *v7);
                  i = 4827;
                }
                if ( i != 4827 )
                  break;
                i = 32391;
              }
              if ( i != 5705 )
                break;
              v5 = (unsigned __int8 *)sub_2E280(v16, (v13 >> v12) & 0x3F);
              std::string::push_back(a3, *v5);
              v12 -= 6;
              i = 24464;
            }
            if ( i != 9961 )
              break;
            ++v11;
            i = 29358;
          }
          if ( i != 16827 )
            break;
          i = 9961;
        }
        if ( i != 24464 )
          break;
        if ( v12 < 0 )
          v4 = 16827;
        else
          v4 = 5705;
        i = v4;
      }
      if ( i != 26962 )
        break;
      v13 = a1[v11] | (v13 << 8);
      v12 += 8;
    }
  }
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
混淆技术研究-OLLVM混淆-控制流平坦(FLA)
Tasfa的博客
09-10 2040
控制流平坦通过将程序中的条件分支语句转为等价的平铺控制流来实现。通常,这包括将原始的分支语句(如if语句、switch语句)中的每个分支提取出来,并将它们放置在一系列连续的基本块中,然后使用一个状态变量或标志来选择要执行的基本块。这样,原本嵌套的条件分支结构就被展开成了一个扁平的基本块序列。
Unidbg系列--Ollvm字符串解密
Tasfa的博客
06-25 1259
Ollvm字符串解密 原理 使用unidbg框架,模拟调用So文件,并Hook内存写操作,当so解密操作写入内存时,回调获取解密字符串,并将其写入新so文件中,达到OLLVM字符串加密的目的。 解密脚本 package com.xCrack; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.github.unidbg.Module; import com.github.unid
unidbg读写跟踪还原X-Gorgon
最新发布
a545958498的博客
03-31 1269
后20字节 0x06292b2e51bf21d8e270474e655a4379e5d3f7f6,指令地址 0x804e8。都是同一个地址,应该是在做加密运算。参数签名函数调用序列 0x88ee0 -> 0x87e48 -> 0x86d60 -> 0x6B14c。第5和6字节 0x0000,指令地址0x13742c,初始buffer为0后没有再写入。进一步跟踪,查看地址 0xbfffda60 + 0x12 ,在哪里被写入 0x3d。第1个字节 0x84,指令地址 0x81138,直接写入无需计算。
大杀器Unidbg真正的威力
2403_87755661的博客
03-17 1300
同理,此框架也支持导出函数HOOK以及InlineHOOK 有了这个方法,在你分析一些函数的时候,可以充当Log的效果 或者强行改变一些函数的返回值让你更容易的分析,比如本例中笔者改变了Lrand48的返回值,让函数每次都强行返回0x12345678,这样在逆向分析的时候能让一些不确定性变成可控性.上面那张图片呢,用的就是小弟魔改的UnidbgTraceCode出来的文件,通过Trace方法可以快速定位某个函数在指令级别的作用,帮助逆向人员更快的分析出想要的算法.该函数的第一个参数毋庸置疑是当前的模拟器。
jnitrace、frida-trace、Stalker、sktrace、Frida Native Trace、r0tracer、strace、IDA traceUnidbg Trace
freeking101的博客
03-19 8788
一个基于 frida 的工具,用来追踪安卓应用的 JNI API。jnitrace 是一个动态分析追踪工具,类似与 frida-trace 和 strace,但是jnitrace 只针对 JNI。
unidbg第一讲例子讲解com.github.unidbg.android.CrackMe
xubaoyong的专栏
12-10 4672
讲解例子 com.github.unidbg.android.CrackMe 需求 1:trace code 2:打印函数调用链 实现步骤: 2.1:实现目标trace code的具体步骤如下 2.1.1:需要将DynarmicFactory替换成Unicorn2Factory,否则会报异常java.lang.UnsupportedOperationException。修改后的代码如下: public CrackMeTrace() { executable = new
Unidbg 问题汇总()
lilac的博客
06-22 6164
1.Long参数的传递 假设一个native函数中参数是long类型,比如这样 在编译成arm32的SO时,一定概率会被转成两个int. long a = 0x1000L → int a1 = 0,int a2 = 0x1000 在Unidbg主动调用时,一定要记得处理,否则会出问题.这是一个常见问题,JAVA层传入的时间戳,常常就是jlong. 处理办法有2 1是按照SO的情况,传给它两个int 2是按照传入诸如 long tm= 1621265630L;的标准写法,Unidbg自动帮我们分割成两个
Android逆向-实战so分析-某洲_v3.5.8_unidbg学习
哔_哩哩!的博客
07-20 6161
文章目录1.unidbg的介绍2.unidbg的安装2.1.下载unidbg工具2.2.导入IDEA2.3.验证导入是否成功3.unidbg的使用3.1.目标方法静态分析3.2.模拟执行目标方法3.3.算法分析3.3.1.OLLVM去混淆3.3.2.指令级TraceJNIEnv、jobject、jclassJNIEnv指针是什么东西?jobject和jclass又有什么区别? 1.unidbg的介绍 unidbg是一款基于unicorn的用来模拟执行so的逆向工具,可以让安全研究人员直接在PC上运行andr
跟着铁头干混淆4.1 ollvm控制流平坦基本概念
qq_37507251的博客
09-04 825
ollvm 4.1 控制流平坦基本概念 控制流平坦基本概念 编译器参数:-mllvm -fla 英文全称 简称 编译参数 控制流平坦 Control Flow Flattening fla -mllvm -fla 大家好,我是王铁头 一个乙方安全公司搬砖的菜鸡 持续更新移动安全,iot安全,编译原理相关原创视频文章 视频演示:https://space.bilibili.com/430241559 第1个例子 简单小程序: c++源码 #include <cstdio&gt
认识一下ollvm的三种混淆(指令替换,虚假的控制流程,控制流平坦
SXXYNHHXX的博客
11-07 4367
描述这种混淆技术的目标只是将标准的二进制运算符(如加法、减法或布尔运算符)替换为功能等效但更复杂的指令序列。当有多个等效的指令序列可用时,随机选择一个。这种混淆相当简单,并且不会增加很多安全性,因为可以通过重新优生成的代码来轻松删除它。但是,如果伪随机生成器的种子具有不同的值,则指令替换会带来生成的二进制的多样性。目前,只有整数运算符可用,因为替换浮点值的运算符会带来舍入误差和不必要的数值不准确。可用的编译器选项mllvm -sub:激活指令替换:如果通道已激活,则将其应用于函数 3 次。
移植 OLLVM 到 LLVM18,修复控制流平坦报错
12-21 650
从报错信息来看,Flattening.cpp 的第 101 行代码在运行时发生了异常,具体错误类型是 访问权限冲突 (0xC0000005),通常意味着代码尝试访问了无效或空的内存指针。在 Flattening.cpp 中 65 行和 97 行都调用了 entryBB.getTerminator()->eraseFromParent();(img-vOKCAkqn-1734793869941)](img-vOKCAkqn-1734793869941)]把 Flattening.cpp 中 97行的代码。
我的LLVM学习笔记——OLLVM混淆研究之FLA
suningning的专栏
10-17 3871
因为要做代码保护,所以抽时间研究了下OLLVM中的三种保护方案:BCF(Bogus Control Flow,中文名虚假控制流)、FLA(Control Flow Flattening,中文名控制流平坦)、SUB(Instructions Substitution,中文名指令替换),本文是FLA介绍篇。 1,查看头文件llvm/Transforms/Obfuscation/Flatte...
ollvm 重写fla 平坦控制流
flygle~的博客
11-12 511
ollvm fla 重写加注释
某车联网App 通讯协议加密分析() Trace Code
dzqxwzoe的博客
12-29 1346
忙活了老半天,其实最后只做了一下修复so文件头。严格意义上只改了3个字节。改3个字节很简单,分析并知道如何改,再哪改,才是我们的重点。逐渐缩小范围来定位。还可以通过不同的入参来TraceCode,对比一下更有助于分析算法。1:ffshow纵浪大中 不喜亦不惧 应尽便须尽 无复独多虑。
美团a2算法分析
weixin_44389363的博客
12-15 306
根据trace流大概分析一下,其实也可以通过汇编地址直接去扣代码,idaF5有点问题,需要自己去处理一下。总结一下就是异或一下key然后白盒aes,key的话最好自己真机trace一遍,unidbg的好像不一样。这里有10轮,看着像行移位之后再aes10轮加密,后面查了张大表,看的出来是白盒aes。unidbg安排上,trace一份。然后通过writememory确认位置。
ollvm混淆实战
uiop_uiop_uiop的博客
05-26 2960
下载之后里面是一个payload.bin,使用payload-dumperX64.exe对这个文件解密,用7zip打开解压出来的system.img,找到需要的这10个文件,放到lib和libs两个文件夹中。文中需要添加5个system的lib,和5个lib64,因为文中的代码说了androidapi=26,所以从下面谷歌官网下载android8.0的镜像。然后在unidbg-android中添加自定义类。参考上面的博客进行操作。首先配置unidbg框架。成功记录所有的jni调用。
某车联网App 通讯协议加密分析() Trace Block
fenfei331的博客
09-13 1391
何以解忧,唯有Trace。能下断点Debug的App,一定就逃不出手心了。所以现在App的关注点都是抵抗Debug,抵抗下断点。结果不对,就和正确的结果去对比流程,跑的和你一模一样,总没毛病吧?1:ffshow凡说之难 在知所说之心 可以吾说当之。
【2025】抖音六神算法逆向记录
weixin_44110940的博客
03-13 3264
通过逆向还原出纯算法
专业SWF转FLA编译工具评测
标题“SWF转FLA Flash编译软件”所指的知识点主要涉及Adobe Flash格式的相关技术,特别是SWF和FLA文件格式之间的转换与操作。SWF(Small Web Format)文件是Flash动画的发布格式,通常用于网页中的动画展示,而FLA...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值