[原创]ARM64 OLLVM反混淆-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]ARM64 OLLVM反混淆

2019-6-29 16:19 41287

[原创]ARM64 OLLVM反混淆

无名侠

2019-6-29 16:19

41287

查看主题内容

收藏・169

点赞・33

打赏

最新回复 (49) ◀ 1 2
大C滑稽雪币： 196 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	大C滑稽 2019-10-20 19:23 26 楼 0 无名侠什么鬼东西？？？？请问大佬还开培训吗？想学
liumengde 雪币： 348 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 32 粉丝 11 关注私信	liumengde 2019-10-23 11:28 27 楼 0 arm反混淆貌似解决不了它没有csel分支指令
wuaiwu 雪币： 603 活跃值： (2137) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 145 粉丝 60 关注私信	wuaiwu 3 2019-11-19 15:07 28 楼 0 以后工作要有个本科学历当敲门砖的，对你将来职业发展有好处。小伙子很不错啊，希望你继续努力。（特意登录多年不上的账号来给你留言）
artake 雪币： 11 活跃值： (981) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 117 粉丝 1 关注私信	artake 2019-12-10 09:48 29 楼 0 学历还是很重要的，加油！
lookzo 雪币： 6 活跃值： (980) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 538 粉丝 1 关注私信	lookzo 2019-12-10 09:55 30 楼 0 不错，先支持一下
adime_9001 雪币： 36 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	adime_9001 2019-12-10 16:10 31 楼 0 谢谢楼主分享
小黄鸭爱学习雪币： 1671 活跃值： (3987) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 263 粉丝 96 关注私信	小黄鸭爱学习 2019-12-13 18:22 32 楼 0 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。复读如果可以提升一个阶段，那么可以说是从长远看，收益最大的事情了。在第一学历歧视的大环境下，专升本的收益远小于复读。最后于 2019-12-13 18:23 被小黄鸭爱学习编辑，原因：
挤蹭菌衣雪币： 5233 活跃值： (3255) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 115 粉丝 115 关注私信	挤蹭菌衣 1 2020-3-6 16:36 33 楼 0 膜拜大佬，这玩意好难，现在卡在这了
jerryxjtu 雪币： 228 活跃值： (404) 能力值： ( LV12，RANK：290 ) 在线值：发帖 18 回帖 41 粉丝 4 关注私信	jerryxjtu 6 2020-4-11 17:53 34 楼 0 谢谢分享。对使用capstone做basic block划分不理解。 i.groups的意思是这个指令在语义上属于哪个分组。 https://www.capstone-engine.org/lang_python.html Check if this instruction belongs to any semantic group. If so, print out all group ID. 例如 bl #0x12b5b8 i.groups返回1和7，从代码上看好像对应： ARM64_GRP_JUMP 1 ARM64_GRP_BRANCH_RELATIVE 7 用capstone-4.0.1跑附件的so，看到的分组是这样： start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L 怎么能获得正确的分组呢？
jerryxjtu 雪币： 228 活跃值： (404) 能力值： ( LV12，RANK：290 ) 在线值：发帖 18 回帖 41 粉丝 4 关注私信	jerryxjtu 6 2020-4-11 17:56 35 楼 0 实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。
无名侠雪币： 6527 活跃值： (8435) 能力值： ( LV17，RANK：787 ) 在线值：发帖 73 回帖 387 粉丝 504 关注私信	无名侠 12 2020-5-23 22:42 36 楼 0 jerryxjtu 实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。我已经解决这个问题，等过段时间公开
花少年雪币： 7 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 4 关注私信	花少年 2020-9-21 13:53 37 楼 0 对比了代码修改之前跟修改之后的，发现有进行BL 调用的地方也被改了但是代码里有对bl进行判断，为什么还会进行路径修改？ ban_ins = ["bl"] #是否跳过指令 flag_pass = False for b in ban_ins: if ins.mnemonic.find(b) != -1: flag_pass = True break if flag_pass: print("will pass 0x%x:\t%s\t%s" %(ins.address, ins.mnemonic, ins.op_str)) uc.reg_write(UC_ARM64_REG_PC, address + size) return
花少年雪币： 7 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 4 关注私信	花少年 2020-9-21 13:55 38 楼 0 我去，图片没发出来，原来： LOAD:0000000000070664 BL sub_D030 修改后：LOAD:0000000000070664 BL sub_D030
0xEA 雪币： 2944 活跃值： (3921) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 1 关注私信	0xEA 2020-9-22 11:00 39 楼 0 膜拜大佬
hackevil 雪币： 249 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 2 关注私信	hackevil 2020-11-4 13:43 40 楼 0 也想好好研究一下llvm，像楼主学习
hzqhacker 雪币： 343 活跃值： (711) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 52 粉丝 2 关注私信	hzqhacker 1 2020-11-5 09:33 41 楼 0 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。好学校对自己的视野和朋友圈有好处的，以后发展肯定也有好处
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2020-11-5 12:59 42 楼 0 大神，膜拜下来学习下怎么通过模拟执行还原流程
bullyxy 雪币： 18 活跃值： (881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 2021-3-15 18:23 43 楼 0 大佬附件打不开
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 2021-3-26 11:39 44 楼 0 高中就这么厉害，真是年少有为啊
无情剑客_bur 雪币： 443 活跃值： (1157) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 32 粉丝 30 关注私信	无情剑客_bur 2021-4-17 13:45 45 楼 0 感谢分享，英雄出少年
cjja爱之恋雪币： 365 活跃值： (480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	cjja爱之恋 2021-4-25 00:45 46 楼 0 方便加个qq么
寒夜看xue 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	寒夜看xue 2022-10-4 23:18 47 楼 0 大佬好，学习一下反混淆，is_real_blocks函数中将这些指令 ['movz','movk','cmp','b.eq','b.ne']组成的块定义为虚假块，是为什么呀？还有ssign的定义又是怎么来的呢，
万里星河雪币： 62 活跃值： (533) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 2023-3-13 18:39 48 楼 0 厉害了
xxRea 雪币： 121 活跃值： (1517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 1 关注私信	xxRea 2023-3-27 10:19 49 楼 0 年轻有为
frozenrain 雪币： 107 活跃值： (1412) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 506 粉丝 1 关注私信	frozenrain 2024-3-3 20:04 50 楼 0 模式匹配吧
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

无名侠

发帖

387

回帖

787

RANK

关注

私信

他的文章

[原创] KCTF2021 偶遇棋痴出题思路(Android)

强网杯: unicorn_like_a_pro

[原创]有今天高考完的小伙伴吗

第四题英雄救美 solved by Syclover

[原创] 第二题南冥神功 by Syclover

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
大C滑稽雪币： 196 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	大C滑稽 2019-10-20 19:23 26 楼 0 无名侠什么鬼东西？？？？请问大佬还开培训吗？想学
liumengde 雪币： 348 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 32 粉丝 11 关注私信	liumengde 2019-10-23 11:28 27 楼 0 arm反混淆貌似解决不了它没有csel分支指令
wuaiwu 雪币： 603 活跃值： (2137) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 145 粉丝 60 关注私信	wuaiwu 3 2019-11-19 15:07 28 楼 0 以后工作要有个本科学历当敲门砖的，对你将来职业发展有好处。小伙子很不错啊，希望你继续努力。（特意登录多年不上的账号来给你留言）
artake 雪币： 11 活跃值： (981) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 117 粉丝 1 关注私信	artake 2019-12-10 09:48 29 楼 0 学历还是很重要的，加油！
lookzo 雪币： 6 活跃值： (980) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 538 粉丝 1 关注私信	lookzo 2019-12-10 09:55 30 楼 0 不错，先支持一下
adime_9001 雪币： 36 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	adime_9001 2019-12-10 16:10 31 楼 0 谢谢楼主分享
小黄鸭爱学习雪币： 1671 活跃值： (3987) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 263 粉丝 96 关注私信	小黄鸭爱学习 2019-12-13 18:22 32 楼 0 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。复读如果可以提升一个阶段，那么可以说是从长远看，收益最大的事情了。在第一学历歧视的大环境下，专升本的收益远小于复读。最后于 2019-12-13 18:23 被小黄鸭爱学习编辑，原因：
挤蹭菌衣雪币： 5233 活跃值： (3255) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 115 粉丝 115 关注私信	挤蹭菌衣 1 2020-3-6 16:36 33 楼 0 膜拜大佬，这玩意好难，现在卡在这了
jerryxjtu 雪币： 228 活跃值： (404) 能力值： ( LV12，RANK：290 ) 在线值：发帖 18 回帖 41 粉丝 4 关注私信	jerryxjtu 6 2020-4-11 17:53 34 楼 0 谢谢分享。对使用capstone做basic block划分不理解。 i.groups的意思是这个指令在语义上属于哪个分组。 https://www.capstone-engine.org/lang_python.html Check if this instruction belongs to any semantic group. If so, print out all group ID. 例如 bl #0x12b5b8 i.groups返回1和7，从代码上看好像对应： ARM64_GRP_JUMP 1 ARM64_GRP_BRANCH_RELATIVE 7 用capstone-4.0.1跑附件的so，看到的分组是这样： start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L start 0x70438L, end 0x704c8L 怎么能获得正确的分组呢？
jerryxjtu 雪币： 228 活跃值： (404) 能力值： ( LV12，RANK：290 ) 在线值：发帖 18 回帖 41 粉丝 4 关注私信	jerryxjtu 6 2020-4-11 17:56 35 楼 0 实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。
无名侠雪币： 6527 活跃值： (8435) 能力值： ( LV17，RANK：787 ) 在线值：发帖 73 回帖 387 粉丝 504 关注私信	无名侠 12 2020-5-23 22:42 36 楼 0 jerryxjtu 实际操作中发现，用代码很难界定什么样的块是OB块，如果误删了正常块，就会连锁导致一大堆的逻辑丢失。我已经解决这个问题，等过段时间公开
花少年雪币： 7 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 4 关注私信	花少年 2020-9-21 13:53 37 楼 0 对比了代码修改之前跟修改之后的，发现有进行BL 调用的地方也被改了但是代码里有对bl进行判断，为什么还会进行路径修改？ ban_ins = ["bl"] #是否跳过指令 flag_pass = False for b in ban_ins: if ins.mnemonic.find(b) != -1: flag_pass = True break if flag_pass: print("will pass 0x%x:\t%s\t%s" %(ins.address, ins.mnemonic, ins.op_str)) uc.reg_write(UC_ARM64_REG_PC, address + size) return
花少年雪币： 7 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 4 关注私信	花少年 2020-9-21 13:55 38 楼 0 我去，图片没发出来，原来： LOAD:0000000000070664 BL sub_D030 修改后：LOAD:0000000000070664 BL sub_D030
0xEA 雪币： 2944 活跃值： (3921) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 1 关注私信	0xEA 2020-9-22 11:00 39 楼 0 膜拜大佬
hackevil 雪币： 249 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 2 关注私信	hackevil 2020-11-4 13:43 40 楼 0 也想好好研究一下llvm，像楼主学习
hzqhacker 雪币： 343 活跃值： (711) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 52 粉丝 2 关注私信	hzqhacker 1 2020-11-5 09:33 41 楼 0 Dstlemoner 为什么要复读。。。。。专升本都可以。。。。复读浪费时间。。好学校对自己的视野和朋友圈有好处的，以后发展肯定也有好处
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2020-11-5 12:59 42 楼 0 大神，膜拜下来学习下怎么通过模拟执行还原流程
bullyxy 雪币： 18 活跃值： (881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 2021-3-15 18:23 43 楼 0 大佬附件打不开
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 2021-3-26 11:39 44 楼 0 高中就这么厉害，真是年少有为啊
无情剑客_bur 雪币： 443 活跃值： (1157) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 32 粉丝 30 关注私信	无情剑客_bur 2021-4-17 13:45 45 楼 0 感谢分享，英雄出少年
cjja爱之恋雪币： 365 活跃值： (480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	cjja爱之恋 2021-4-25 00:45 46 楼 0 方便加个qq么
寒夜看xue 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	寒夜看xue 2022-10-4 23:18 47 楼 0 大佬好，学习一下反混淆，is_real_blocks函数中将这些指令 ['movz','movk','cmp','b.eq','b.ne']组成的块定义为虚假块，是为什么呀？还有ssign的定义又是怎么来的呢，
万里星河雪币： 62 活跃值： (533) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 2023-3-13 18:39 48 楼 0 厉害了
xxRea 雪币： 121 活跃值： (1517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 1 关注私信	xxRea 2023-3-27 10:19 49 楼 0 年轻有为
frozenrain 雪币： 107 活跃值： (1412) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 506 粉丝 1 关注私信	frozenrain 2024-3-3 20:04 50 楼 0 模式匹配吧
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复