混淆解密_使用IDA trace来还原ollvm混淆的非标准算法

最新推荐文章于 2024-10-25 23:33:19 发布
原创 最新推荐文章于 2024-10-25 23:33:19 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#混淆解密

af93e97772fcad4b8e467b8397c16442.png

本文为看雪论坛优秀文章

看雪论坛作者ID:pass_

这是3W班9月的题目。题目使用ollvm混淆算法。通过题目我掌握了IDA trace的使用方法,并灵活使用frida及调试等方式来获得中间状态来完成题目。但是对常见算法不够熟悉,导致恢复了整个base64。这个工作量实际是可以省下的。先拖进IDA看看,不是能简单逆向出来的。先上trace。 拿到trace的log后,尝试从输出往前找。本次的输入输出如下: e94ee6e01eb307d0f13c8a08986858be.png按输出的字符搜索,经过几次尝试后,可定位到sub_7F0FA11764:loc_7F0FA1198C行就是生成输出的指令。和输出是完全一样的。 de6fdba166017615c2321dfef0618cf4.png先看一下output[0]是怎么计算的。 375a7be6669b3bc89e49eb92bc67fa5a.png分以下3步:1、从一个0000007F0FA39010地址中的0x15偏移中取出一会字节。我直接静态看这个地址的值与取出的值是不对的,观察了init array,发现有大量的解密操作,估计在里面做了解密,我动态调了一下,得到0000007F0FA39010这个数组的值为:”0123456789-_abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ”,此时值可以对应上了。2、0x15的的计算是0x55>>2得到。3、而0x55是从0000007F0F7CFDA0地址的0偏移中取出。0000007F0F7CFDA0暂时不知道是什么,暂称为middle数组。为了便于计算,需要先得到这个middle数组的值,这个用trace不大好看,我在IDA中二进制逆向跟踪一下。其实就是sub_F04C的第一个参数a1。大概看一下整体的流程,在Java_com_kanxue_ollvm_1ndk_MainActivity_UUIDCheckSum这个函数中,input经过sub_1029c函数,生成v19。而v19就是一直透传到sub_F04C函数的a1。 2985666f53666f01df4b6e87824a682a.png为了证明sub_F9B8的v19的值与sub_F04C的值是一样的,我写frida脚本hook一下并打印内存,确实是一样的。因此整个流程就比较清楚了,input处理成middle,再处理成output。第一次trace没有把这个参数记录下来,为了能更好地验证,再trace一次,并且写一个fr
最低0.47元/天 解锁文章

200万优质内容无限畅学
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
IDA调试器跟踪功能IDA调试器跟踪功能
01-20
IDA调试器跟踪功能IDA调试器跟踪功能
Unicorn反混淆:恢复被OLLVM保护的程序(一)
小王的储物间
01-16 876
每次搜索开始的时候从queue中获取一个将要搜索的真实块,设置寄存器,调用find_path搜索下一个真实块,将搜索到的真实块与新寄存器放入队列(保证上下文完整)使用这样做的好处就是可以搜索任意队列中的代码块,并且寄存器环境一定是和该代码块一致的。网上确定真实块之间的调用关系大多都是用 angr 的符号执行来实现,不过angr是个强大的工程,强练容易走火入魔,需要从基础练起。启动虚拟机的函数叫find_path,用于寻找真实块的下一个代码块。这样可以模糊基本块之间的前后关系,增加程序分析的难度。
ollvmida trace操作笔记
esabeny的博客
01-26 1983
1.启动顺序操作记录 1.把android_server push到手机里 2.chmod 777 android_server 3.adbforward tcp:11678 tcp:11678 4.ida->debugger->attach->arm-androddebugger 5.再按f9把程序跑起来 6.file->script_file->选择script.py加载ida脚本,成功后会有日志 7.然后点击Debugger->breaklist里可以看到我们的断
ida android sign加密,最右sign-v2签名算法追踪及逆向还原
weixin_39998998的博客
06-02 722
原标题:最右sign-v2签名算法追踪及逆向还原 本文为看雪论坛优秀文章看雪论坛作者ID:尐进本篇文章应该于N个月前就写了,由于拖延症一直拖到现在。其实一直打算写一系列逆向实战,比如某音、某手、某乎、某宝,也不知道会不会有时间且不拖延的写下去。好了言归正传,上次分析的最右APP版本为4.2.1 已经是18年10月的时候了 当时签名算法只有一个"sign" ,而本次分析的是目前最新版本5.5.9 。...
IDA调试跟踪
深耕安全技术研究
05-13 2817
这里写目录标题1.IDA调试概述2.指令跟踪3.函数跟踪4.栈跟踪5.监控 1.IDA调试概述 IDA中的调试跟踪是一种记录方法, 它主要是用于记录一个进程在执行过程中发生的特定事件。 跟踪分为两类:指令跟踪和函数跟踪。 2.指令跟踪 在IDA打开指令跟踪方法:Debugger-Tracing-Instruction Tracing IDA将记录被指令更改的地址、指令和任何寄存器的值。(指令跟踪将减慢被调试进程的执行速度,因为调试器必须单步执行这个进程,以监视和记录所有寄存器的值) 3.函数跟踪 在IDA
Android应用防护
Luzhuo 的博客
04-12 981
Android应用防护包括: 混淆, 反调试, 签名保护, 加固等.
Android逆向-实战so分析-某洲_v3.5.8_unidbg学习
哔_哩哩!的博客
07-20 5849
文章目录1.unidbg的介绍2.unidbg的安装2.1.下载unidbg工具2.2.导入IDEA2.3.验证导入是否成功3.unidbg的使用3.1.目标方法静态分析3.2.模拟执行目标方法3.3.算法分析3.3.1.OLLVM混淆3.3.2.指令级TraceJNIEnv、jobject、jclassJNIEnv指针是什么东西?jobject和jclass又有什么区别? 1.unidbg的介绍 unidbg是一款基于unicorn的用来模拟执行so的逆向工具,可以让安全研究人员直接在PC上运行andr
190505 逆向-DDCTF2019(Reverse)
热门推荐
whklhhhh的博客
05-06 3万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,反求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
181202 逆向-2018鹏城杯
whklhhhh的博客
12-02 1552
本次比赛的各个Re题目都对各种公开密码算法的运用考察比较多,还是挺有意思的~ Reverse badblock main函数打开发现是C++写的,充斥大量无用代码 于是转头执行,发现接收输入后回弹err... 搜索字符串发现有三处引用 分别是两个anti_debug和一个puts_wrong anti_debug分别通过ptrace和getpid()的方法,不必多说,调试的时候直接绕过即可 put...
关于IDA trace 跟踪笔记
JackBoy的博客
08-21 5535
如图有三个模式 一定要去选中 不然trace 窗口没有内容 第一个 Instruction tracing 适合单步调试 如F8 不跟进函数 第二个选中 每个内容都会有 它自动跟进了函数 但是不跟进系统函数内 第三个 只跟函数 好了,就是这些鬼东西了! ...
ida trace使用
qq_26394845的博客
11-21 993
trace步骤。
最右ollvm字符串混淆还原
ST0new的博客
03-22 2580
某apk so层ollvm字符串混淆 本次逆向分析用到的工具:adb、ida、010Editor、ddms。 这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。 先检测一下设备是否正常 adb devices 然后解压apk文件,提取出lib目录下的libnet_crypto.so文件 armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64 so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的 接下来,分
算法还原 - CTF》逆向exe程序 + ida Pro 反汇编分析伪C代码 + python算法复现
u014643814的博客
09-10 1万+
二进制安全,能干什么逆向分析: 负责成品软件的技术原理. 比如分析竞品软件,吸取技术上的优点,进行技术难点公关病毒分析: 负责分析病毒样本.研究恶意代码的技术手段等工作.主要是在安全公司,尤其是在杀毒软件公司需求较多.如360 、腾讯电脑管家等.漏洞挖掘分析: 负责分析漏洞样本,或者漏洞的挖掘.目前二进制的主要方向.涉及范围广,从主流浏览器 虚拟机 内核到IOT 还有android 和 IOS移动平台.移动安全: 负责移动端安全.如移动端的漏洞挖掘,还有加壳混淆等安全开发: 包含较广.比如硬件平台,内核安全
使用 IDA Tracing 动态跟踪 JNI 方法执行过程
最新发布
10-25 1619
去掉勾选 Trace over debugger segments(控制的是 tracing 操作是否仅限于当前调试器的代码段(segments),还是可以跨越所有内存段执行指令追踪。在开始断点触发时清理 tracing & 开启 Instruction tracing & 挂起其他线程(过反调试),执行到结束地址时关闭 Instruction tracing & 恢复所有线程执行 & 移除断点 & 解除 hook。断点触发,打开 Instruction tracing,然后 F8 单步执行。
android O 兆字节还原,Android OLLVM混淆实战:算法还原
weixin_39873456的博客
05-25 466
前言之前一篇我们已经讨论了android arm平台下的ollvm平坦化混淆还原的基本方法,这一篇我们就接着上一篇,继续实战反混淆。apk样本:douyin9.9.0so样本:libcms.so逆向工具:ida跟进上一篇末尾我们对Jni_Onload的最外层进行了反混淆,f5之后可以看到,主要调用了sub_10710和sub_23B0两个函数,跟进sub_10710,并没有发现对vm的引用,而在s...
FridaIDA分析OLLVM控制流程平坦化
小龙在线
01-12 2841
简介:https://github.com/obfuscator-llvm/obfuscator/wiki/Control-Flow-Flattening 特征:常量很多,用来根据常量跳转到正确的位置。 分析控制流程平坦化,主要是分析交叉引用,有两种方法,一种从输入参数开始分析交叉引用,一种是从输出结果分析交叉引用。 ...
IDA学习笔记-代码混淆和软件保护方法
qq_20031585的博客
04-09 3768
了解常见的代码混淆和程序保护方法,原理和分类,可以进一步识别反编译的难度,确定逆向工程的边界和难度。
jnitrace、frida-trace、Stalker、sktrace、Frida Native Trace、r0tracer、straceIDA trace、Unidbg Trace
freeking101的博客
03-19 7865
一个基于 frida 的工具,用来追踪安卓应用的 JNI API。jnitrace 是一个动态分析追踪工具,类似与 frida-trace 和 strace,但是jnitrace 只针对 JNI。
Python实现的IDA算法及应用实例
描述部分简单明了地指出文档将讲述如何使用Python来实现IDA算法,并强调了该实现的实用性。标签部分列出了与文档相关的关键词,帮助我们更精确地定位到文档所涉及的主题。最后,文件列表中仅包含一个文件名'lda.py'...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值