-
-
[原创]初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码
-
发表于:
2020-7-13 12:03
13325
-
[原创]初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码
这是3W班5月的习题。题目要求是 e函数需要逆向出源码。yang老师本意应该是训练下trace的汇编代码阅读能力,但是由于ollvm混淆开的比较低,所以IDA的反汇编代码也是可以阅读,当时偷懒就没有专心去阅读trace了。
通过本题初次尝试了还原so文件代码,在没有开太多混淆的情况下还是可以使用IDA配合frida还原,像之前3月题目混淆开的高一点这种方式就要搞死掉了。
还原代码
解题思路
本来想使用IDA Trace,拿到日志后,没有直接定位到计算的地方,所以整个还原是使用IDA动态调试和Frida来完成的。
步骤1:查看函数e
函数e中直接使用了sub_1500C,传入v42就是bytes数组,v41就是我们返回的秘钥
使用Frida可验证,这里返回值存储的位置需要注意。
步骤2:查看sub_1500C
sub_1500C中计算了加密字符串长度,然后引入了新字符串www.pediy.com&kanxue。之后直接调用sub_13CE4计算加密。
参数列表
x0 字符串pediy_imyang_abcdefghij
x1 字符串长度
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-7-13 13:33
被无造编辑
,原因: