Ta的论坛

北辰制作

拉黑关注私信

头图
皮肤套装

使用

主题(4) | 回帖(17) | 精华(0)

北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2022-1-7 15:06 0 [分享]看雪3W班试题AntiOllvm去混淆。_879907 这个是利用LLVM框架做的吗？曾经尝试过这个方法，没经过编译优化的还好，但是优化后实在是不知道怎么下手了！！！ retdec反编译加各种优化处理加llvm优化编译，肯定是能应对编译优化后的，不然就没意义了
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2022-1-7 13:19 0 [分享]看雪3W班试题AntiOllvm去混淆海风月影 antiollvm.exe 在哪下载呢？广告？目前还未提供下载，过几天后提供，可以关注我的github仓库，到时会放在上面
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-18 08:35 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件 baikaishiu 北辰制作编译回二进制的目的是在于可以直接运行，生成二进制文件就可以用于其它工具分析，其实参数的识别我仔细分析过arm的参数，只要你传入的参数&a ... 这只是提供一个选项,通常自动分析参数可能会比实际的多,给用户一个指定参数的选项,便于在后期编译时更好的优化,当然不提供也是可以的,反正参数比实际多就能保证正确性
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-18 00:15 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件 baikaishiu 北辰制作所以为了支持arm的neon指令我花了大量时间翻译，软件只要做到80%能解就行了，即使解不完全还能正确编译回去也可以所以你手工把ll ... 是在翻译 arm neon 汇编指令时将其翻译为合法的 llvm ir，编译肯定的是用LLVM的后端，只是要自己处理符号重定位才能回填文件
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-18 00:03 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件 baikaishiu 还有个问题，我没用过ret2dec，IDA在转某些较大的函数时，生成的高级语言代码，我感觉是有点问题的，这个不知道是不是我哪里没用对，你的函数就直接优化它们生成的高级语言就不出错？我是完全不敢，只能在 ... 如果真有问题那也是IDA的问题，最主要保证翻译和优化正确，那么编译的结果自然正确，翻译的正确性需要详细的每条指令测试，优化的正确使用LLVM内部优化可以信任，其它如retdec的优化本身有许多bug，在非llvm内部优化尽量做到保守，保证其正确性。
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-17 23:49 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件 baikaishiu 不是的，体积大小的影响太大了，各种情况覆盖的情况复杂很多。比如，这里有个9K的函数看起来时不是挺复杂，但是实际上解起来很简单。这个26K的，看起来就一点点，实际上复杂很多:这个里面貌似有在做多媒体优化 ... 所以为了支持arm的neon指令我花了大量时间翻译，软件只要做到80%能解就行了，即使解不完全还能正确编译回去也可以
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-17 23:34 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件 baikaishiu 超大是多大？我这边现在最大时26K已经写回了，正在尝试32k的，以前的mem-phi实现的有问题，正在重写你也在去混淆？找到一个50多k的，函数大小无所谓，关键是混淆的程度
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-17 23:15 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件 baikaishiu 你这边内部测试过多少个函数可以写回了？最大测试的函数有多大？我正在测一个超大函数，论坛上找的样本，且是魔改版的混淆，需要点时间，目前的版本使用正常的ollvm基本上没有问题可以完美还原
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-17 22:54 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件 krash 看起来楼主实现了类似SATURN Software deobfuscation framework based on LLVM的反混淆框架，自己使用还是很有价值的，但是要难商业化，我觉得还是有 ... 编译回二进制的目的是在于可以直接运行，生成二进制文件就可以用于其它工具分析，其实参数的识别我仔细分析过arm的参数，只要你传入的参数>=实际参数，那么多余的参数可以不用管，因为实际函数用不到，大于4个参数写入堆栈是在调用方堆栈上写入到sp正偏移，但是sp的值并没有改变，被调用函数方使用就读取没使用就不用读取，返回后sp还原，因此只要你保证参数大于等于实际参数就可以了。间接调用就把调用函数当作函数指针就行了，至于虚函数反编译后本质就只是偏移，只要保证翻译优化正确那么偏移就会正确，变参函数比如标准库这可以直接拿到函数签名。最后还有人工指定函数参数
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-17 21:28 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件挤蹭菌衣大佬能不能放出优化的源码一起技术交流下我看你这个图是纯去除有源码的平坦化的还有能私聊一下这个反混淆值几个钱吗我也想喝点汤我这还有个还原vmp的半成品最后我没有模拟执行那只是方便的叫法 ... 可以加群私聊
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-17 21:27 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件你可以加我群私聊,之所以放出有源码的那是不想惹上法律问题最后于 2021-6-17 21:28 被北辰制作编辑，原因：
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-6-17 20:08 0 [原创]AntiOllvm 去除二进制文件Ollvm混淆并编译回二进制文件挤蹭菌衣用retdec反编译的ir优化去除ollvm应该是我先在论坛上发的吧收费了??? 你的帖子我也看过，但是我使用的方法跟你完全不一样，你用到了模拟执行，而我目前只是静态分析，不能说我使用retdec就是抄你的吧，样本我也公开了，你可以自己去试试你的方法效果怎样，反正我没试过。再说我添加了很多arm neon指令支持，还有修复各种Bug，回编译，这跟你那个完全没关系吧
北辰制作雪币： 3795 活跃值： (2887) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 72 关注私信	北辰制作 2021-2-23 20:36 0 FakeXposed最强屏蔽Xposed、Root检测，自定义maps、文件重定向等支持Android5~11 https://sanfengandroid.github.io/2021/01/10/modify-linker-to-implement-plt-hook/ fake-linker的实现原理，github上面也有链接

精华数

RANk

3795

雪币

2887

活跃值

关注数

粉丝数

0

课程经验

0

学习收益

0

学习时长

基本信息

能力排名： No.3448

等级： LV3

活跃值

活跃值：

活跃值

在线值：

浏览人数：1

最近活跃：6小时前

注册时间：2013-03-19

勋章

能力值