最右ollvm字符串混淆还原

已于 2022-03-06 18:13:52 修改
阅读量2.4k 收藏 13
点赞数 2
分类专栏: 逆向分析 文章标签: 逆向分析
于 2021-03-22 10:47:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wang_624/article/details/115066838
版权

某apk so层ollvm字符串混淆

本次逆向分析用到的工具:adb、ida、010Editor、ddms。

这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。

先检测一下设备是否正常

adb devices

在这里插入图片描述

然后解压apk文件,提取出lib目录下的libnet_crypto.so文件

在这里插入图片描述

armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64

so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的
在这里插入图片描述

接下来,分析一下JNI_onload

先看一下JNI_onload流程,不是很复杂
在这里插入图片描述

F5或者空格查看伪代码,代码没什么混淆

在这里插入图片描述

修改参数,静态分析方法

右键选择set lvar typey修改参数类型
在这里插入图片描述
在下面GetEnv处 选择Force call type识别一下类型在这里插入图片描述

v4JNIenv * 也修改一下

在这里插入图片描述

下面 FindClassRegisternatives也一下,识别一下类型

点进去查看,没有native方法的对应关系,第一个参数是javanative的方法名称,第二个参数是javanative的签名信息,第三个参数才是对应的c\c++的参数

在这里插入图片描述

根据上面静态分析遇到的问题,接下来的想法是恢复被ollvm加密混淆的字符串信息

打开010Editor,将so文件和elf头文件拖进去

在这里插入图片描述

主要分析数据区域

第一个是程序头,不是关注的,第二个和第三个是关注重点,第二个是只读的,那么根据so文件对字符串进行加解密可以判断ida编译出的混淆字符串属于第三个区域
在这里插入图片描述

这部分区域是被加密处理的

在这里插入图片描述

那对于这个so的还原,就需要dump出解密后的数据,将数据复制到原加密数据位置,完成对字符串解密。

dump的位置可能在JNI_onloadinitinit_aray

ida 附加一下进程,看一下so文件是否被加载

先进行一下android端的配置

找到idaandroid_server
在这里插入图片描述

idaandroid_server发送到android

在这里插入图片描述

执行android_server

转发端口
在这里插入图片描述

附加端口,这里先要启动apk

Debugger-> Attach -> Remote ARmlinux\Android debugger

在这里插入图片描述

Modules发现so文件已经被加载进去了
在这里插入图片描述

那么直接搜索dump内存中解密的字符串数据
在这里插入图片描述

ctrl+scrypto

File->script commond

然后输入命令,替换初始地址和结束地址

在这里插入图片描述

使用010Editor打开,里面的字符串都是解密的

在这里插入图片描述

这是加密的数据,可以对比一下,前六行基本是一致的都是地址。最后一行都是00,这里是相对地址

在这里插入图片描述

这个是解密的数据,前六行都是04 这里是绝对地址。
在这里插入图片描述

复制解密后的数据,到这里为止

请添加图片描述

在鼠标放到如图位置,ctrl+v搞定

在这里插入图片描述

看一下修复后的so文件

看一下Findclass,之前混淆的现在已经解密了

在这里插入图片描述
同样RegisterNatives也是,之前不知道方法的类型和参数,现在都已经解密出来了在这里插入图片描述

总结

这种方法仅适用在内存中解密状态的情况,如果是在使用时解密,解密后在清除,需要使用动态调试。

欢迎关注我的公众号 了解最新文章

在这里插入图片描述

【爬虫逆向】一文掌握混淆工具Ollvm(超级详细!)
数据知道的博客
03-13 2677
Ollvm 是一个强大的代码混淆工具,通过多种混淆技术增加逆向工程的难度。多种混淆技术:控制流扁平化、指令替换、虚假控制流、字符串加密。灵活配置:支持调整混淆强度。跨平台支持:适用于 Windows、Linux 和 macOS。在逆向分析中,Ollvm混淆技术会显著增加分析难度,但通过结合静态和动态分析工具,仍然可以逐步还原代码逻辑。
OLLVM两种混淆方式:初始化解密和运行时解密
小龙在线
01-12 1416
OLLVM混淆函数名:std::string_ 查找JNI_OnLoad 加载Android ARM库: 修改类型: 双击查看v6 = off_33D60里的off_33D60: print_dex(0x37070)是sign1。 查看交叉引用: 是std::string_::形式的函数,改了函数的名字,这是OLLVM的另一种加密函数,在.init_array段里面: OLLVM字符串使用前混淆:运行时解密 Ctrl+S打开.init_array: 查看sub_6CEC函数: 都赋值
使用 Frida Stalker 反 OLLVM 算法还原
最新发布
03-30 872
Stalker.follow() 使用 onCallSummary 时,不会实时回调,而是在合适的时间点返回已汇总的调用信息。通过 onRecive 解析可以知道 调用的是 libaes.so 偏移 0x25f60 的函数。使用 CyberChef 的 AES CBC 算法加密得到结果和 app 的是一样的。因此,你会在目标函数执行完毕后,看到 onCallSummary 输出的调用信息。用 IDA 打开 libaes.so 并调整到对应的地址,可以找到调用的函数。
windows平台下的OLLVM4.0,支持so文件中字符串混淆
05-21
Windows平台编译生成的OLLVM文件clang.exe,clang++.exe等,集成到NDK工具中,用于Android JNI 中C,C++代码以及字符串混淆 (支持的ndk版本有android-ndk-r14b-windows-x86_64,android-ndk-r16b-windows-x86_64,其他版本没有测试)
混淆字符串
01-08 8129
基础知识 物极必反。我们已经研究了阅读Windows内核的方法,现在开始讨论在我们自己的驱动编码中采用特殊的编码方法,来简单地防止反汇编阅读。这是有趣的一种事态:一方面我们研究如何阅读别人的(尤其是MS的)代码;另一方面,我们不得不采取措施保护自己的技术不被他人简单地窃取。 我这里要用到的这种方法不同于加壳或者加密。加壳和加密的方法比较单一,从而容易被人以同
OLLVM添加字符串混淆功能
king_jie0210的专栏
08-15 3680
转载声明:https://www.anquanke.com/post/id/86384 本文简单介绍了下使用上海交大GoSSIP小组开源的“孤挺花”混淆框架来给OLLVM加上字符串混淆的功能。 0x01 OLLVM 4.0 OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个针对LLVM代码混淆项目,主要作用是增加逆向难度,从而一...
解决ollvm字符串混淆的几种方法
blind cat
03-02 2673
手动还原 应用运行,dump so unicron 执行 uEmu
Unidbg系列--Ollvm字符串解密
Tasfa的博客
06-25 1164
Ollvm字符串解密 原理 使用unidbg框架,模拟调用So文件,并Hook内存写操作,当so解密操作写入内存时,回调获取解密字符串,并将其写入新so文件中,达到反OLLVM字符串加密的目的。 解密脚本 package com.xCrack; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.github.unidbg.Module; import com.github.unid
Frida和IDA分析OLLVM混淆APK
小龙在线
01-06 2739
Android实现动态库的加载,一般需要调用android_dlopen_ext函数。函数源码: void* android_dlopen_ext(const char* filename, int flag, const android_dlextinfo* extinfo) { const void* caller_addr = __builtin_return_address(0); return __loader_android_dlopen_ext(filename, flag, exti
【网络安全】ollvm混淆学习
HBohan的博客
09-23 3084
ollvm原理 Ollvm大致可分为 bcf(虚假块), fla(控制流展开), sub(指令膨胀), Split(基本块分割) bcf: 克隆一个真实块,并随机替换其中的一些指令,然后用一个永远为真的条件建立一个分支。克隆后的块是不会被执行的。 Fla: 将所有的真实块使用一个switch case结构包裹起来,每个真实块执行完毕后都会重新赋值switch var,对于有分支的块会使用select指令,并跳转到switch起始代码块(分发器)上,根据switch var来执行下一个真实块。 Sub: 指令
基于OLLVM的代码混淆策略分析
# 1. 引言 ## 1.1 研究背景与意义 ...因此,为了进一步提高代码混淆的效果和安全性,研究者们提出了一种基于OLLVM的代码混淆技术。 ## 1.2 相关工作综述 在代码混淆领域,已经有许多研究者提出了各种各样
Android SO文件保护OLLVM混淆加固——混淆篇(二)
10-03
Android SO文件保护OLLVM混淆加固——混淆
ollvm混淆混淆和定制修改.doc
09-28
近各大杀毒公司陆续都出了混淆,网上关于ollvm的资料比较少,于是就有了这篇文章,这篇文章介绍,android的native代码,也就是so和linux的c/c++代码均可使用的混淆工具ollvm的编译,混淆,反混淆,和反反混淆
iOS代码混淆的探索
miracle的博客
05-05 1165
####目的 为了进一步增加应用的安全性,防止我们的应用程序很容易的被攻击者分析、破解、重打包,提高攻击者逆向分析应用的难度 ####应用的加固方案 数据加密:静态字符串、本地存储和网络传输的加密 静态混淆:类名、方法名、属性的混淆 动态保护:反调试、注入检测、hook检测、越狱检测、签名检测等 代码混淆:将代码分快、扁平化、增加干扰代码,以提高分析者的分析难度 ####下面结合具体应用场景说...
ollvm3种字符串混淆加密
qq_33364733的博客
03-17 1104
ollvm的三种字符串混淆加密 第一种 so搜索datadiv_decode,,点进去会看见有解密操作,比如异或,通过frida hook就能拿到解密后的值 第二种 1.init_array中进行异或解密 第三种 在jni_onload函数中进行解密操作,这时候就要进行inlinehook拿到解密后寄存器的值,也可以进行hook RegisterNatives函数看看 ...
OLLVM混淆
m0_74148881的博客
04-10 1004
通过分析可以发现原始的执行逻辑只在真实块以及序言和retn块中,其中会产生分支的真实块中主要是通过CMOV指令来控制跳转到哪一个分支,常见的分析工具有angr。在代码块前添加一个判断代码块来改变CFG,永真或永假判断使进程直接跳转到原代码块,并将整个代码内容被随机生成的垃圾指令填满,增加逆向成本。用IDA查看未经过控制流平坦化的控制流程图(CFG)使用复杂的指令代替简单的二元运算(如加减法、或、异或)这样可以模糊基本块之间的前后关系,增加程序分析的难度。
认识一下ollvm的三种混淆(指令替换,虚假的控制流程,控制流平坦化)
SXXYNHHXX的博客
11-07 2792
描述这种混淆技术的目标只是将标准的二进制运算符(如加法、减法或布尔运算符)替换为功能等效但更复杂的指令序列。当有多个等效的指令序列可用时,随机选择一个。这种混淆相当简单,并且不会增加很多安全性,因为可以通过重新优化生成的代码来轻松删除它。但是,如果伪随机生成器的种子具有不同的值,则指令替换会带来生成的二进制的多样性。目前,只有整数运算符可用,因为替换浮点值的运算符会带来舍入误差和不必要的数值不准确。可用的编译器选项mllvm -sub:激活指令替换:如果通道已激活,则将其应用于函数 3 次。
记一次解密ollvm字符串
SolarLove的博客
03-21 498
解密37010中的字符串 加密的字符串 寻找异或的V0地址,tab按住V0直接过去,发现是0xC6 image.png 然后看37010这个数组,双击它 ,发现它有两个地址 image.png 左下角是(36010)so中的地址,37010是IDA加载的地址 将so拖入010EDITOR,输入36030 image.png image.png 选中360...
android 字符串 混淆,某 so层ollvm字符串混淆
weixin_36469638的博客
05-28 1113
某某apk so层ollvm字符串混淆本次逆向分析用到的工具:adb、ida、010Editor、ddms。这次主要对某的libnet_crypto.so分析,主要工作是分析ollvm混淆字符串被处理加密。先检测一下设备是否正常adb devices然后解压apk文件,提取出lib目录下的libnet_crypto.so文件armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要...
Windows平台OLLVM4.0实现so文件字符串混淆
在Android的开发过程中,so文件常用于存放C或C++编写的库代码,OLLVM通过混淆这些字符串,不仅使得恶意攻击者难以理解字符串的实际用途,还使得字符串在反编译后难以被直接使用,从而提高应用程序的安全性。...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值