de-ollvm

最新推荐文章于 2025-12-01 22:31:44 发布
原创 最新推荐文章于 2025-12-01 22:31:44 发布 · 876 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

该文整理了多种对抗OLLVM混淆的技术,包括基于符号执行的angr和miasm方法,利用反编译器IDA的微代码和BinaryNinja,以及基于模拟执行的Unicorn等工具。此外,还提到了通过编译后端优化的高级反混淆方法。

[原创]你所需要的对抗ollvm的知识都在这里-Android安全-看雪-安全社区|安全招聘|kanxue.com

你所需要的对抗ollvm的知识都在这里 

 2022-4-22 10:27  25851

整理了一些ollvm对抗的文章,大家可以参考。
ollvm还原主要有静态分析的方法和动态分析的方法。无论哪种方法基本流程都是:找到所有基本块(特征匹配)-确定真实块之间的关联(静态的:符号执行/反编译器提供的IL的API;动态的:模拟执行/IDA trace)-patch原程序

基于符号执行

angr

利用符号执行去除控制流平坦化: https://security.tencent.com/index.php/blog/msg/112
利用angr符号执行去除虚假控制流: https://bbs.pediy.com/thread-266005.htm
TetCTF2022一道代码混淆题分析——crackme_pls: 

最低0.47元/天 解锁文章
uiop_uiop_uiop
关注
ida去平坦化插件,对抗ollvm
09-01
编译与逆向工程的领域内,OLLVM(Obfuscated LLVM)是一个广为人知的混淆技术,它通过一系列复杂的转换,对程序代码进行加密和混淆,从而大幅增加逆向工程的难度。OLLVM的目标是通过改变程序的控制流图(CFG),...
一文搞懂 Frida Stalker:对抗 OLLVM 的算法还原利器
09-18 1306
在移动应用的安全加固中,是一种常见的代码混淆与保护手段。它通过控制流平坦化、虚假控制流、指令替换等方式,使逆向分析者很难直接还原出原始算法逻辑。然而,通过 Frida 提供的Stalker模块去动态分析让我们有机会对 OLLVM 的“黑盒逻辑”进行还原。通过 Stalker 的指令级追踪能力,我们不仅能捕获函数调用、记录调用参数,还可以打印调用堆栈,最终逐步揭开 OLLVM 加固算法的真实运行流程。比如,分析某个 so 中偏移为 0x23AD0 的加密函数。
逆向攻防:VMP壳与OLLVM混淆动态破解术
4G/5G随身WiFi专业DIY改装
08-01 2311
现代高级版本可能采用多态加密(如每次加载变换解密密钥),此时需结合硬件级调试(如 Intel PT)捕获初始化解密循环。研究过程需持续对抗更新,核心在于。以下技术讨论仅限于安全研究场景,需遵守相关法律法规。VMP 壳的核心弱点在于。
Android hook、检测及对抗相关
u013083465的专栏
06-29 4204
Android hook、检测及对抗相关
linux 中间代码编译,[原创]编译原理(2)-中间表示
weixin_33925126的博客
05-10 518
中间语言通常情况下,编译器和编译器一样,都分成前端、中端和后端三个部分,每一部分都有1-2种中间语言。如果使用3种中间语言,则前端中间语言定义为Target Dependent HIR,中端中间语言定义为Target Independent MIR,后端中间语言定义为Target Dependent LIR;如果使用4-6种中间语言,则前端中间语言定义为Target Dependent HIR和...
angr去除o-llvm控制流平坦化
liumengdeqq的专栏
01-02 2662
更改这篇文章中最新版本的bug https://security.tencent.com/index.php/blog/msg/112 和补充这篇文章的环境搭建    1.配置mac中docker环境      (1)下载 https://download.docker.com/mac/stable/Docker.dmg      (2)可以按照这篇文章中传mac到docker文件 http
Android OLLVM混淆实战
zhangmiaoping23的专栏
05-24 2707
前言 小弟我最近在研究ollvm平坦化的混淆,但网上的参考资料大多是x86的混淆,关于arm的少之又少,现正好手头有个app样本中运用了这种混淆技术,所以拿来练一练手。 app样本:douyin9.9.0 so样本:libcms.so 逆向工具:ida,jadx 观察函数控制流程图(CFG) 所要获取的签名算法位于leviathan方法中,该方法是个native方法,在libcms.so中没有静态关联函数,所以我们需要找到其动态注册的位置。 首先,分析Jni_OnLoad函数,Jni.
OLLVM 增加 C&C++ 字符串加密功能
03-25 1286
当我们如果没有对字符串进行加密,使用 IDA 汇编一下 so 可以看到 C++ 代码中的字符串就直接暴露了。编译完成后,通过 IDA 打开 so 可以看到字符串常量 “cyrus” 已经被替换成 &unk_6DE20。processConstantStringUse() 找到所有使用加密字符串的地方,替换为解密后的变量。只要在定义的地方把字符串加密,引用时候再解密就可以实现字符串的自动加解密了。为字符串变量创建一个初始化函数,用于在运行时执行解密操作。通过生成 ir 文件可以看到字符串的定义都是 @“?
26、逆向工程技术全解析:从OLLVM到符号执行
nept的博客
08-15 752
本文深入解析了逆向工程技术,涵盖OLLVM混淆原理与解除方法、高级语言(Rust、Go、C#、Python、MFC)逆向分析技巧,以及现代符号执行技术在CTF竞赛中的应用。通过实际案例展示了如何利用工具如IDA、angr、uncompyle2等进行分析,并结合优化策略提升逆向效率。适用于逆向工程师、安全研究人员及CTF竞赛参与者。
angr符号执行用例解析——codegate_2017-angrybird
doudoudouzoule的博客
04-16 1422
用例源码以及二进制文件链接:https://github.com/angr/angr-doc/tree/master/examples/codegate_2017-angrybird这个二进制文件执行起来没应,给参数也不可以。看了用例源码,才知道这个二进制文件很怪,加了“anti-run instructions”(嗯,运行指令)。除非更改二进制文件,删除掉运行指令或直接跳转到正确代码块才可...
混淆:恢复被OLLVM保护的程序
weixin_30361641的博客
03-29 1118
译者序: OLLVM作为代码混淆的优秀开源项目,在国内主流app加固应用中也经常能看到它的身影,但是公开的分析研究资料寥寥。本文是Quarkslab团队技术博客中一篇关于混淆的文章,对OLLVM项目中的控制流平坦化、虚假控制流、指令替换等混淆策略进行了针对性分析,并展示了利用符号执行对OLLVM混淆进行清理的一些思路和成果。 文章侧重于混淆思路的讲解,并没有提供完整的代码方案,部分关键...
符号执行技术总结(A Brief Summary of Symbol Execution)- wcventure
热门推荐
wcventure的博客
02-07 2万+
符号执行技术总结(A Brief Summary of Symbol Execution)Prologue摘要简介经典符号执行技术现代符号执行技术混合执行测试(Concolic testing)执行生成测试(Execution-Generated Testing (EGT))动态符号执行中的不精确性(imprecision) vs.完整性(completeness)主要挑战和解决方案路径爆炸(Pa...
细说armollvm混淆-基本思想
键盘的起始页
08-07 1482
从最简单开始 先从一个简单的函数开始 1 2 3 4 5 6 7 8 9 10 11 12 intmain(intargc,constchar**argv){ inta=atoi(argv[1]); if(a>5){ a=a+1; printf("a%d",a); ...
【Sql Server】sql server 2019设置远程访问,外网服务器需要设置好安全组入方向规则
2509_94200811的博客
12-01 622
本地电脑安装的sql server数据库可视化工具ssms连接到外网服务器的sql server数据库,实现本地化远程链接数据库进行管理和操作。
软件供应链安全“黑洞”:2025安全合规的制品库如何选择?
weixin_44552837的博客
12-01 272
软件供应链攻击频发,依赖组件不可控、流转管控缺失等问题凸显制品管理风险,制品库亟需安全合规的产品选择。国产制品管理平台可构建全生命周期防御体系,以可信源建设、上传即扫描、全链路追溯及信创适配筑牢防线,是企业研发制品仓库的选型优选。
大模型生成(题目)安全
CSPhD-winston的博客
12-01 613
生成管道中加“自动验证器”(QA 模型交叉验证)、内容过滤器(toxicity / safety classifier)、可控生成(约束 prompt / planning),以及对抗训练来提高鲁棒性。可用指标:错误率(事实/逻辑)、不可答率(unanswerable)、有害性评分(自动 + 人工标签)、偏见强度(差异化统计)、选项/答案位置偏置、可解释性度量等。构建偏见题模板(性别/种族/阶级/文化敏感话题),通过语法/语义变换扩展(借鉴 JADE 型方法),评估不同模型在题目生成时露出的系统性偏差。
Java安全基础——JNI安全基础
a1001086的博客
11-29 517
Java通过JNI实现与C/C++的交互,可在Java中调用本地代码。具体步骤包括:1)声明native方法;2)加载动态链接库(.dll/.so);3)使用javac生成头文件;4)实现C/C++函数;5)编译生成动态库;6)在Java中调用。JNI类型对应C++类型,基本类型直接使用,引用类型为对象指针。处理字符串时需注意内存管理,使用GetStringUTFChars获取字符串指针,最后调用ReleaseStringUTFChars释放资源。该方法可扩展Java功能,但需考虑跨平台和安全问题。
MySQL offline_mode安全隔离流量,高效完成数据库维护
最新发布
翔云
12-01 649
MySQL的offline_mode是用于数据库维护的重要配置,开启后仅允许管理员连接,普通用户连接会被拒绝或断开。它不会影响复制线程,确保主从同步不受干扰。该功能适用于服务器升级、数据备份等维护场景,需配合CONNECTION_ADMIN和SYSTEM_VARIABLES_ADMIN权限使用。使用时需注意:会立即中断业务连接,建议在维护窗口期操作,并确保应用连接池能正常恢复。通过SET GLOBAL offline_mode=ON/OFF可快速切换状态,为数据库维护提供安全环境。
【探索实战】监控、安全与边缘场景的深度落地
行者的博客
11-29 893
Kurator作为一站式分布式云原生平台,在统一监控、安全策略和边缘计算场景中展现出显著优势。文章从监控体系搭建、安全策略实施和边缘计算实战三个维度,分享了Kurator的进阶使用经验。通过Thanos实现跨集群监控聚合,Grafana提供全局可视化,将巡检时间从30分钟缩短至5分钟;利用Kyverno集成实现统一安全策略管理,大幅降低合规成本;在制造业边缘场景中,Kurator的离线部署和弱网同步能力解决了车间网络不稳定问题,使边缘集群部署时间缩短90%。Kurator有效降低了分布式云原生管理复杂度,是
DE2-115开发板全资料包下载
DE2-115开发板是Altera公司(现为Intel PSG的一部分)推出的一款基于Cyclone IV系列FPGA芯片的教育与入门级开发平台。本资料集合将对该开发板进行详细介绍,包括但不限于其硬件构成、功能特性、编程开发以及提供的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值