[原创]记一次基于unidbg模拟执行的去除ollvm混淆-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]记一次基于unidbg模拟执行的去除ollvm混淆

2023-5-3 23:00 47870

[原创]记一次基于unidbg模拟执行的去除ollvm混淆

乐子人

2023-5-3 23:00

47870

查看主题内容

收藏・126

点赞・50

打赏

最新回复 (49) ◀ 1 2
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 2023-6-1 19:51 26 楼 1 我发现可以不需要显式地load libc.so、libm.so等文件，\unidbg\unidbg-android\src\main\resources\android\ 这个地方自带了sdk19和sdk23，只要把AndroidResolver设为23，它就会自动加载所需的系统so
Ruinv6 雪币： 187 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	Ruinv6 2023-6-13 16:51 27 楼 0 大佬，有联系方式可以留个吗请教下问题
alds 雪币： 245 活跃值： (445) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 30 粉丝 1 关注私信	alds 2023-6-13 23:13 28 楼 0 大佬，有没有研究过java平坦流混淆去除？
乐子人雪币： 3272 活跃值： (4415) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 82 粉丝 373 关注私信	乐子人 3 2023-6-14 14:41 29 楼 0 alds 大佬，有没有研究过java平坦流混淆去除？没有
zhonghuayi 雪币： 127 活跃值： (880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 2023-6-28 09:53 30 楼 0 写的很好，大佬能多详细的分享一些基础的内容吗？让新人学习学习。
mb_jippoctc 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_jippoctc 2023-7-4 11:30 31 楼 0 大牛，请问一下学习路线是怎样的
mb_kbkqyusp 雪币： 361 活跃值： (482) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 23 粉丝 11 关注私信	mb_kbkqyusp 2023-7-8 11:48 32 楼 0 大佬这个AntiOllvm.java 下载过期了，可以在分享一次吗
橙子的肚子雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	橙子的肚子 2023-7-10 10:57 33 楼 0 感谢分享
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	@=llfly 2023-7-25 10:42 34 楼 0 赞，感谢分享！
bluth 雪币： 7 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 202 粉丝 2 关注私信	bluth 2023-8-11 01:21 35 楼 0 请教一下大佬，第一次跑完BR X9，之后，这些分支没有执行到，根据提示修改寄存器w8的值跳转这里的这个跳转实际测试来看，好像没有跳转到，不知道是不是版本不一样的原因是否有其他思路这里让没有执行到的分支执行一下
New对象处雪币： 22 活跃值： (3699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 5 关注私信	New对象处 2023-8-17 20:07 36 楼 0 bluth 请教一下大佬，第一次跑完BR X9，之后，这些分支没有执行到，根据提示修改寄存器w8的值跳转这里的这个跳转实际测试来看，好像没有跳转到，不知道是不是版本不一样的原因是否有其他思路这里让没有执行到的分支 ... 你将62144 的w8改为0，会执行62158
New对象处雪币： 22 活跃值： (3699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 5 关注私信	New对象处 2023-8-17 20:10 37 楼 0 bluth 请教一下大佬，第一次跑完BR X9，之后，这些分支没有执行到，根据提示修改寄存器w8的值跳转这里的这个跳转实际测试来看，好像没有跳转到，不知道是不是版本不一样的原因是否有其他思路这里让没有执行到的分支 ... 按照我说的，加入造成死循环，那么就按照楼主说的，标志当前位置，下次调用procBr时就patch，退出
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2023-11-16 19:20 38 楼 0 大佬，像getRegValue,readInt64是哪个库的
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2023-11-17 14:44 39 楼 0 大佬，String condBr = "b"+cond.toLowerCase(Locale.ROOT) + " 0x"+ Integer.toHexString((int) (offset1 - addinstaddr)); 这个地方为什么还需要减去 addinstaddr
乐子人雪币： 3272 活跃值： (4415) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 82 粉丝 373 关注私信	乐子人 3 2023-11-18 03:25 40 楼 0 wx_justght 大佬，像getRegValue,readInt64是哪个库的[em_85] 我自己写的hh
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 494 粉丝 3 关注私信	万里星河 2023-11-18 18:48 41 楼 0 支持一下不过使用frida stalker效果也不错
yxbbing 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	yxbbing 2023-12-23 09:11 42 楼 0 memory.setLibraryResolver(new AndroidResolver(26)); 26版本这么来的有吗? unidbg原码里只有19,23
lemontree@me 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lemontree@me 2024-1-17 18:15 43 楼 0 想问下代码里面的libtprt5.so和libtprt6.so是怎么来的，原apk里面就是这样的名字吗
肉蚌葱鸡雪币： 20 活跃值： (643) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 4 关注私信	肉蚌葱鸡 2024-1-23 09:48 44 楼 0 写的真好高级帖
蜡笔晓辉雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	蜡笔晓辉 2024-2-21 12:48 45 楼 0 厉害了
mb_nprzkbju 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_nprzkbju 2024-2-25 11:59 46 楼 0 你好，冒昧问一句，这个地方你是不是写错了。文章第一张截图可知W11=0x6E221A17，W12=0x6E142EC8 文章说用unidbg修改0x5E5AC处W8的值为1 可是如果上面一条指令w8等于0,那么W8=W11>W12,下面会执行B loc_5E678 如果W8不等于0,那么W8=W12,依然会执行B loc_5E678， b.lt是小于才会跳转,无论W8等于W11还是W12始终无法是进入B.LT loc_5E5CC，你是怎么进入loc_5E5CC分支的。另外感觉你这里面,好多值都是肉眼观察然后硬编码上去的，你是不是看了程序运行流程，然后肉眼剔除掉多的部分，然后实现的还原，那这样好像没多少意义了，想问一下目前有没有通用一点的办法。
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_cmrpibxs 2024-3-18 14:09 47 楼 0 qdesy 请问reorderblock()函数中最后的这段代码里，toend和0x5E674L都是怎么得到的。toend被硬编码成private static final long toend = 0x5E6B ... 兄弟，能大家一起探讨下吗
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_cmrpibxs 2024-3-19 16:27 48 楼 0 New对象处 666 大哥，能请教下相关问题吗
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_cmrpibxs 2024-3-19 16:29 49 楼 0 秋狝感谢分享大哥，能请教下问题吗
heyonly 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	heyonly 2024-4-17 11:54 50 楼 0 感谢大佬的分享，在还原平坦化的时候，代码中的tbs.add(new TrueBlock(0x6e142ec8L,0x5E6B0)); 这个 0x5E6B0，不知道怎么来的，要是上传在分析时的样本就好了，这样我们便能分析猜这些值怎么来的，或者大佬在文中解释下。感谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

乐子人

发帖

回帖

160

RANK

关注

私信

他的文章

[原创]神挡杀神——揭开世界第一手游保护nProtect的神秘面纱

[原创]小日本也有大安全——记一次不寻常的手游反调试，反hook分析与绕过

[原创] 更高更妙的抓包——从Chrome源码学习使用Cronet 通讯组件的app的通用抓包方法

[原创]记一次基于unidbg模拟执行的去除ollvm混淆

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 2023-6-1 19:51 26 楼 1 我发现可以不需要显式地load libc.so、libm.so等文件，\unidbg\unidbg-android\src\main\resources\android\ 这个地方自带了sdk19和sdk23，只要把AndroidResolver设为23，它就会自动加载所需的系统so
Ruinv6 雪币： 187 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	Ruinv6 2023-6-13 16:51 27 楼 0 大佬，有联系方式可以留个吗请教下问题
alds 雪币： 245 活跃值： (445) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 30 粉丝 1 关注私信	alds 2023-6-13 23:13 28 楼 0 大佬，有没有研究过java平坦流混淆去除？
乐子人雪币： 3272 活跃值： (4415) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 82 粉丝 373 关注私信	乐子人 3 2023-6-14 14:41 29 楼 0 alds 大佬，有没有研究过java平坦流混淆去除？没有
zhonghuayi 雪币： 127 活跃值： (880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 102 粉丝 2 关注私信	zhonghuayi 2023-6-28 09:53 30 楼 0 写的很好，大佬能多详细的分享一些基础的内容吗？让新人学习学习。
mb_jippoctc 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_jippoctc 2023-7-4 11:30 31 楼 0 大牛，请问一下学习路线是怎样的
mb_kbkqyusp 雪币： 361 活跃值： (482) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 23 粉丝 11 关注私信	mb_kbkqyusp 2023-7-8 11:48 32 楼 0 大佬这个AntiOllvm.java 下载过期了，可以在分享一次吗
橙子的肚子雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	橙子的肚子 2023-7-10 10:57 33 楼 0 感谢分享
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	@=llfly 2023-7-25 10:42 34 楼 0 赞，感谢分享！
bluth 雪币： 7 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 202 粉丝 2 关注私信	bluth 2023-8-11 01:21 35 楼 0 请教一下大佬，第一次跑完BR X9，之后，这些分支没有执行到，根据提示修改寄存器w8的值跳转这里的这个跳转实际测试来看，好像没有跳转到，不知道是不是版本不一样的原因是否有其他思路这里让没有执行到的分支执行一下
New对象处雪币： 22 活跃值： (3699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 5 关注私信	New对象处 2023-8-17 20:07 36 楼 0 bluth 请教一下大佬，第一次跑完BR X9，之后，这些分支没有执行到，根据提示修改寄存器w8的值跳转这里的这个跳转实际测试来看，好像没有跳转到，不知道是不是版本不一样的原因是否有其他思路这里让没有执行到的分支 ... 你将62144 的w8改为0，会执行62158
New对象处雪币： 22 活跃值： (3699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 5 关注私信	New对象处 2023-8-17 20:10 37 楼 0 bluth 请教一下大佬，第一次跑完BR X9，之后，这些分支没有执行到，根据提示修改寄存器w8的值跳转这里的这个跳转实际测试来看，好像没有跳转到，不知道是不是版本不一样的原因是否有其他思路这里让没有执行到的分支 ... 按照我说的，加入造成死循环，那么就按照楼主说的，标志当前位置，下次调用procBr时就patch，退出
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2023-11-16 19:20 38 楼 0 大佬，像getRegValue,readInt64是哪个库的
wx_justght 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	wx_justght 2023-11-17 14:44 39 楼 0 大佬，String condBr = "b"+cond.toLowerCase(Locale.ROOT) + " 0x"+ Integer.toHexString((int) (offset1 - addinstaddr)); 这个地方为什么还需要减去 addinstaddr
乐子人雪币： 3272 活跃值： (4415) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 82 粉丝 373 关注私信	乐子人 3 2023-11-18 03:25 40 楼 0 wx_justght 大佬，像getRegValue,readInt64是哪个库的[em_85] 我自己写的hh
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 494 粉丝 3 关注私信	万里星河 2023-11-18 18:48 41 楼 0 支持一下不过使用frida stalker效果也不错
yxbbing 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	yxbbing 2023-12-23 09:11 42 楼 0 memory.setLibraryResolver(new AndroidResolver(26)); 26版本这么来的有吗? unidbg原码里只有19,23
lemontree@me 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lemontree@me 2024-1-17 18:15 43 楼 0 想问下代码里面的libtprt5.so和libtprt6.so是怎么来的，原apk里面就是这样的名字吗
肉蚌葱鸡雪币： 20 活跃值： (643) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 4 关注私信	肉蚌葱鸡 2024-1-23 09:48 44 楼 0 写的真好高级帖
蜡笔晓辉雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	蜡笔晓辉 2024-2-21 12:48 45 楼 0 厉害了
mb_nprzkbju 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_nprzkbju 2024-2-25 11:59 46 楼 0 你好，冒昧问一句，这个地方你是不是写错了。文章第一张截图可知W11=0x6E221A17，W12=0x6E142EC8 文章说用unidbg修改0x5E5AC处W8的值为1 可是如果上面一条指令w8等于0,那么W8=W11>W12,下面会执行B loc_5E678 如果W8不等于0,那么W8=W12,依然会执行B loc_5E678， b.lt是小于才会跳转,无论W8等于W11还是W12始终无法是进入B.LT loc_5E5CC，你是怎么进入loc_5E5CC分支的。另外感觉你这里面,好多值都是肉眼观察然后硬编码上去的，你是不是看了程序运行流程，然后肉眼剔除掉多的部分，然后实现的还原，那这样好像没多少意义了，想问一下目前有没有通用一点的办法。
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_cmrpibxs 2024-3-18 14:09 47 楼 0 qdesy 请问reorderblock()函数中最后的这段代码里，toend和0x5E674L都是怎么得到的。toend被硬编码成private static final long toend = 0x5E6B ... 兄弟，能大家一起探讨下吗
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_cmrpibxs 2024-3-19 16:27 48 楼 0 New对象处 666 大哥，能请教下相关问题吗
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_cmrpibxs 2024-3-19 16:29 49 楼 0 秋狝感谢分享大哥，能请教下问题吗
heyonly 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	heyonly 2024-4-17 11:54 50 楼 0 感谢大佬的分享，在还原平坦化的时候，代码中的tbs.add(new TrueBlock(0x6e142ec8L,0x5E6B0)); 这个 0x5E6B0，不知道怎么来的，要是上传在分析时的样本就好了，这样我们便能分析猜这些值怎么来的，或者大佬在文中解释下。感谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复