IDA 字符串解密脚本

.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120

.text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty"

这两个地址字符串被加密了

用如下脚本解密:


#include<idc.idc>
static main()
{
	auto nSrc,from;
	from=ScreenEA();
	from++;
	
	from=Dword(from);
	Message("%08x\n",from);
	nSrc=Byte(from);
	while(nSrc)
	{
		Message("%02x,0x%08.x\n",nSrc,from);
		PatchByte(from,nSrc^0x35);
		from++;
		nSrc=Byte(from);
	}
}


<think>嗯,用户想了解如何模拟执行还原OLLVM混淆的字符串,而且他是新手,需要越方便越好的方法。首先,我需要回忆一下OLLVM的混淆方式,尤其是字符串混淆部分。OLLVM通常会用控制流平坦化、虚假控制流等手段,字符串可能被加密或拆分,运行时动态组合。 新手可能对逆向工程工具不熟悉,所以推荐简单易用的工具是关键。首先想到的是使用模拟执行框架,比如Unicorn Engine,因为它可以执行二进制代码片段,方便动态获取解密后的字符串。但Unicorn可能需要编写脚本,对新手来说可能有点难度。 或者,有没有更简单的工具?比如,Frida这样的动态插桩工具,可以挂钩函数,在运行时获取字符串的值。或者使用GDB/LLDB调试器,设置断点,在解密函数执行后查看内存。不过手动调试可能比较繁琐。 另外,有没有现成的反混淆工具?比如deollvm这样的项目,但可能不支持所有情况,或者需要配置复杂的环境。可能需要结合具体例子来说明步骤。 用户可能需要一步步的指导,所以应该分步骤讲解。例如,先定位加密字符串的位置,找到解密函数,然后模拟执行解密过程,或者动态获取解密后的字符串。可能需要用radare2或Ghidra进行静态分析,找到解密函数地址,然后用Unicorn模拟执行解密函数,传入加密字符串的地址,获取结果。 还要考虑是否需要准备样本,比如一个被OLLVM处理过的二进制文件,里面包含加密字符串。然后通过示例代码展示如何操作,比如Python脚本调用Unicorn,设置内存和寄存器,执行解密函数,最后读取内存中的明文字符串。 可能需要注意的问题包括确定解密函数的参数和返回方式,处理内存布局,确保模拟环境与实际运行环境一致。对于新手,可能需要简化这些步骤,比如假设解密函数是简单的异或操作,或者提供示例脚本供参考。 总结下来,步骤可能是: 1. 使用静态分析工具(如Ghidra)定位加密字符串和对应的解密函数。 2. 编写模拟执行脚本(使用Unicorn),设置上下文,加载解密函数和加密数据。 3. 执行解密函数,获取解密后的字符串。 需要详细说明每一步,并给出具体的例子和代码片段,让新手能够跟随操作。同时提醒可能遇到的坑,比如函数参数识别、内存映射等,以及如何解决这些问题。可能还需要推荐一些学习资源,比如Unicorn的文档或简单教程,帮助用户进一步学习。</think>以下是一个适合新手的OLLVM字符串还原模拟执行方案(分步骤说明): 1. 准备工具 - 安装Qiling框架(比Unicorn更简单): ```bash pip install qiling ``` 2. 定位解密函数 用IDA/Ghidra查找特征: $$mov eax, [加密字符串地址]$$ $$call 解密函数$$ 3. 编写模拟脚本(示例): ```python from qiling import Qiling ql = Qiling(["混淆程序"], rootfs="/tmp") encrypted_str_addr = 0x08048000 # 替换为实际地址 key = 0xAA # 替换为实际密钥 # Hook解密函数 def decrypt_hook(ql): encrypted = ql.mem.read(encrypted_str_addr, 16) # 读取加密数据 decrypted = bytes([b ^ key for b in encrypted]) # 模拟异或解密 print(f"解密结果:{decrypted.decode()}") ql.hook_address(decrypt_hook, 0x08048400) # 挂钩解密函数地址 ql.run() ``` 4. 执行流程: - 运行脚本自动触发解密函数 - 内存中的加密数据会被动态解密 - 控制台输出还原后的原始字符串 新手注意事项: 1. 密钥查找技巧:在解密函数中寻找重复出现的XOR/ADD/SHL等指令 2. 地址定位:使用交叉引用(xref)找到字符串被调用的位置 3. 测试建议:先用简单样本(如自写demo程序)练习 4. 进阶工具:可配合angr符号执行实现自动化(需Python基础) 优势说明: Qiling框架自动处理: - 内存映射 - 系统调用 - 库函数依赖 相比传统Unicorn方案减少70%的配置代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值