[原创]ARM64 OLLVM反混淆-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]ARM64 OLLVM反混淆

发表于: 2019-6-29 16:19 48560

[原创]ARM64 OLLVM反混淆

无名侠

2019-6-29 16:19

48560

查看主题内容

收藏・196

免费・46

支持

最新回复 (53) ◀ 1 2 3 ▶
大C滑稽雪币： 196 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 0 关注私信	大C滑稽 26 楼无名侠什么鬼东西？？？？请问大佬还开培训吗？想学 2019-10-20 19:23 0
liumengde 雪币： 348 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 42 粉丝 12 关注私信	liumengde 27 楼 arm反混淆貌似解决不了它没有csel分支指令 2019-10-23 11:28 0
wuaiwu 雪币： 983 活跃值： (3062) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 156 粉丝 68 关注私信	wuaiwu 3 28 楼以后工作要有个本科学历当敲门砖的，对你将来职业发展有好处。小伙子很不错啊，希望你继续努力。（特意登录多年不上的账号来给你留言） 2019-11-19 15:07 0
artake 雪币： 180 活跃值： (1423) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 122 粉丝 1 关注私信	artake 29 楼学历还是很重要的，加油！ 2019-12-10 09:48 0
lookzo 雪币： 6 活跃值： (1226) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 528 粉丝 1 关注私信	lookzo 30 楼不错，先支持一下 2019-12-10 09:55 0
adime_9001 雪币： 36 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	adime_9001 31 楼谢谢楼主分享 2019-12-10 16:10 0
小黄鸭爱学习雪币： 2298 活跃值： (4692) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 273 粉丝 117 关注私信	小黄鸭爱学习 32 楼 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。复读如果可以提升一个阶段，那么可以说是从长远看，收益最大的事情了。在第一学历歧视的大环境下，专升本的收益远小于复读。最后于 2019-12-13 18:23 被小黄鸭爱学习编辑，原因： 2019-12-13 18:22 0
挤蹭菌衣雪币： 5235 活跃值： (3260) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 129 粉丝 124 关注私信	挤蹭菌衣 1 33 楼膜拜大佬，这玩意好难，现在卡在这了 2020-3-6 16:36 0
jerryxjtu 雪币： 218 活跃值： (709) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 34 楼谢谢分享。对使用capstone做basic block划分不理解。 i.groups的意思是这个指令在语义上属于哪个分组。 ed7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0j5i4m8K6N6r3!0F1k6g2)9J5k6r3g2F1k6$3W2F1k6g2)9J5k6h3!0J5k6#2)9J5c8X3I4S2L8X3N6Q4y4h3k6H3P5i4c8Z5L8$3&6Q4x3X3g2Z5N6r3#2D9 Check if this instruction belongs to any semantic group. If so, print out all group ID. 例如 bl #0x12b5b8 i.groups返回1和7，从代码上看好像对应： ARM64_GRP_JUMP 1 ARM64_GRP_BRANCH_RELATIVE 7 用capstone-4.0.1跑附件的so，看到的分组是这样： start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L 怎么能获得正确的分组呢？ 2020-4-11 17:53 0
jerryxjtu 雪币： 218 活跃值： (709) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 35 楼实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。 2020-4-11 17:56 0
无名侠雪币： 6969 活跃值： (9319) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 605 关注私信	无名侠 12 36 楼 jerryxjtu 实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。我已经解决这个问题，等过段时间公开 2020-5-23 22:42 0
花少年雪币： 7 活跃值： (389) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 4 关注私信	花少年 37 楼对比了代码修改之前跟修改之后的，发现有进行BL 调用的地方也被改了但是代码里有对bl进行判断，为什么还会进行路径修改？ ban_ins = ["bl"] #是否跳过指令 flag_pass = False for b in ban_ins: if ins.mnemonic.find(b) != -1: flag_pass = True break if flag_pass: print("will pass 0x%x:\t%s\t%s" %(ins.address, ins.mnemonic, ins.op_str)) uc.reg_write(UC_ARM64_REG_PC, address + size) return 2020-9-21 13:53 0
花少年雪币： 7 活跃值： (389) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 4 关注私信	花少年 38 楼我去，图片没发出来，原来： LOAD:0000000000070664 BL sub_D030 修改后：LOAD:0000000000070664 BL sub_D030 2020-9-21 13:55 0
0xEA 雪币： 3110 活跃值： (4242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 88 粉丝 1 关注私信	0xEA 39 楼膜拜大佬 2020-9-22 11:00 0
hackevil 雪币： 249 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 2 关注私信	hackevil 40 楼也想好好研究一下llvm，像楼主学习 2020-11-4 13:43 0
hzqhacker 雪币： 343 活跃值： (886) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 55 粉丝 2 关注私信	hzqhacker 1 41 楼 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。好学校对自己的视野和朋友圈有好处的，以后发展肯定也有好处 2020-11-5 09:33 0
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 310 粉丝 3 关注私信	NightGuard 1 42 楼大神，膜拜下来学习下怎么通过模拟执行还原流程 2020-11-5 12:59 0
bullyxy 雪币： 18 活跃值： (1016) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 4 关注私信	bullyxy 43 楼大佬附件打不开 2021-3-15 18:23 0
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 44 楼高中就这么厉害，真是年少有为啊 2021-3-26 11:39 0
无情剑客_bur 雪币： 443 活跃值： (1167) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 42 粉丝 33 关注私信	无情剑客_bur 45 楼感谢分享，英雄出少年 2021-4-17 13:45 0
cjja爱之恋雪币： 365 活跃值： (480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	cjja爱之恋 46 楼方便加个qq么 2021-4-25 00:45 0
寒夜看xue 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	寒夜看xue 47 楼大佬好，学习一下反混淆，is_real_blocks函数中将这些指令 ['movz','movk','cmp','b.eq','b.ne']组成的块定义为虚假块，是为什么呀？还有ssign的定义又是怎么来的呢， 2022-10-4 23:18 0
万里星河雪币： 126 活跃值： (1057) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 508 粉丝 3 关注私信	万里星河 48 楼厉害了 2023-3-13 18:39 0
xxRea 雪币： 120 活跃值： (1608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 1 关注私信	xxRea 49 楼年轻有为 2023-3-27 10:19 0
frozenrain 雪币： 107 活跃值： (1854) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 512 粉丝 1 关注私信	frozenrain 50 楼模式匹配吧 2024-3-3 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

无名侠

发帖

406

回帖

797

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
大C滑稽雪币： 196 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 0 关注私信	大C滑稽 26 楼无名侠什么鬼东西？？？？请问大佬还开培训吗？想学 2019-10-20 19:23 0
liumengde 雪币： 348 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 42 粉丝 12 关注私信	liumengde 27 楼 arm反混淆貌似解决不了它没有csel分支指令 2019-10-23 11:28 0
wuaiwu 雪币： 983 活跃值： (3062) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 156 粉丝 68 关注私信	wuaiwu 3 28 楼以后工作要有个本科学历当敲门砖的，对你将来职业发展有好处。小伙子很不错啊，希望你继续努力。（特意登录多年不上的账号来给你留言） 2019-11-19 15:07 0
artake 雪币： 180 活跃值： (1423) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 122 粉丝 1 关注私信	artake 29 楼学历还是很重要的，加油！ 2019-12-10 09:48 0
lookzo 雪币： 6 活跃值： (1226) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 528 粉丝 1 关注私信	lookzo 30 楼不错，先支持一下 2019-12-10 09:55 0
adime_9001 雪币： 36 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	adime_9001 31 楼谢谢楼主分享 2019-12-10 16:10 0
小黄鸭爱学习雪币： 2298 活跃值： (4692) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 273 粉丝 117 关注私信	小黄鸭爱学习 32 楼 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。复读如果可以提升一个阶段，那么可以说是从长远看，收益最大的事情了。在第一学历歧视的大环境下，专升本的收益远小于复读。最后于 2019-12-13 18:23 被小黄鸭爱学习编辑，原因： 2019-12-13 18:22 0
挤蹭菌衣雪币： 5235 活跃值： (3260) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 129 粉丝 124 关注私信	挤蹭菌衣 1 33 楼膜拜大佬，这玩意好难，现在卡在这了 2020-3-6 16:36 0
jerryxjtu 雪币： 218 活跃值： (709) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 34 楼谢谢分享。对使用capstone做basic block划分不理解。 i.groups的意思是这个指令在语义上属于哪个分组。 ed7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0j5i4m8K6N6r3!0F1k6g2)9J5k6r3g2F1k6$3W2F1k6g2)9J5k6h3!0J5k6#2)9J5c8X3I4S2L8X3N6Q4y4h3k6H3P5i4c8Z5L8$3&6Q4x3X3g2Z5N6r3#2D9 Check if this instruction belongs to any semantic group. If so, print out all group ID. 例如 bl #0x12b5b8 i.groups返回1和7，从代码上看好像对应： ARM64_GRP_JUMP 1 ARM64_GRP_BRANCH_RELATIVE 7 用capstone-4.0.1跑附件的so，看到的分组是这样： start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L 怎么能获得正确的分组呢？ 2020-4-11 17:53 0
jerryxjtu 雪币： 218 活跃值： (709) 能力值： ( LV12，RANK：290 ) 在线值：发帖 17 回帖 41 粉丝 4 关注私信	jerryxjtu 6 35 楼实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。 2020-4-11 17:56 0
无名侠雪币： 6969 活跃值： (9319) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 605 关注私信	无名侠 12 36 楼 jerryxjtu 实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。我已经解决这个问题，等过段时间公开 2020-5-23 22:42 0
花少年雪币： 7 活跃值： (389) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 4 关注私信	花少年 37 楼对比了代码修改之前跟修改之后的，发现有进行BL 调用的地方也被改了但是代码里有对bl进行判断，为什么还会进行路径修改？ ban_ins = ["bl"] #是否跳过指令 flag_pass = False for b in ban_ins: if ins.mnemonic.find(b) != -1: flag_pass = True break if flag_pass: print("will pass 0x%x:\t%s\t%s" %(ins.address, ins.mnemonic, ins.op_str)) uc.reg_write(UC_ARM64_REG_PC, address + size) return 2020-9-21 13:53 0
花少年雪币： 7 活跃值： (389) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 4 关注私信	花少年 38 楼我去，图片没发出来，原来： LOAD:0000000000070664 BL sub_D030 修改后：LOAD:0000000000070664 BL sub_D030 2020-9-21 13:55 0
0xEA 雪币： 3110 活跃值： (4242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 88 粉丝 1 关注私信	0xEA 39 楼膜拜大佬 2020-9-22 11:00 0
hackevil 雪币： 249 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 2 关注私信	hackevil 40 楼也想好好研究一下llvm，像楼主学习 2020-11-4 13:43 0
hzqhacker 雪币： 343 活跃值： (886) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 55 粉丝 2 关注私信	hzqhacker 1 41 楼 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。好学校对自己的视野和朋友圈有好处的，以后发展肯定也有好处 2020-11-5 09:33 0
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 310 粉丝 3 关注私信	NightGuard 1 42 楼大神，膜拜下来学习下怎么通过模拟执行还原流程 2020-11-5 12:59 0
bullyxy 雪币： 18 活跃值： (1016) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 4 关注私信	bullyxy 43 楼大佬附件打不开 2021-3-15 18:23 0
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 44 楼高中就这么厉害，真是年少有为啊 2021-3-26 11:39 0
无情剑客_bur 雪币： 443 活跃值： (1167) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 42 粉丝 33 关注私信	无情剑客_bur 45 楼感谢分享，英雄出少年 2021-4-17 13:45 0
cjja爱之恋雪币： 365 活跃值： (480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	cjja爱之恋 46 楼方便加个qq么 2021-4-25 00:45 0
寒夜看xue 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	寒夜看xue 47 楼大佬好，学习一下反混淆，is_real_blocks函数中将这些指令 ['movz','movk','cmp','b.eq','b.ne']组成的块定义为虚假块，是为什么呀？还有ssign的定义又是怎么来的呢， 2022-10-4 23:18 0
万里星河雪币： 126 活跃值： (1057) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 508 粉丝 3 关注私信	万里星河 48 楼厉害了 2023-3-13 18:39 0
xxRea 雪币： 120 活跃值： (1608) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 1 关注私信	xxRea 49 楼年轻有为 2023-3-27 10:19 0
frozenrain 雪币： 107 活跃值： (1854) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 512 粉丝 1 关注私信	frozenrain 50 楼模式匹配吧 2024-3-3 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复