[原创]记使用Trace还原ollvm混淆的函数 #30天写作挑战#-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]记使用Trace还原ollvm混淆的函数 #30天写作挑战#

发表于: 2020-9-1 20:02 28733

[原创]记使用Trace还原ollvm混淆的函数 #30天写作挑战#

neilwu

2020-9-1 20:02

28733

https://bbs.pediy.com/thread-260650.htm
https://bbs.pediy.com/thread-260655.htm

二位大佬的两种解题思路，膜拜膜拜

ollvm可以使用ida的trace功能辅助还原，看到样本上手尝试一下。
上面的帖子中有部分使用trace进行辅助还原，这篇帖子是通过trace后的汇编指令进行的ollvm还原过程，记录分享一下过程，不喜勿喷。

图片描述

调试器将为每条指令保存所有修改后的寄存器值。
https://www.hex-rays.com/products/ida/support/idadoc/1446.shtml

调试器将保存到达临时基本块断点的所有地址。
https://www.hex-rays.com/products/ida/support/idadoc/1628.shtml

调试器将保存发生函数调用或函数返回的所有地址。
https://www.hex-rays.com/products/ida/support/idadoc/1447.shtml

图片描述

定位过程可以参考上面2个帖子

结果显示：
图片描述

参数：

结果：

图片描述

trace后的cfg，变黄色就是执行的汇编指令被trace过

图片描述

sub_13CE4中调用了sub_13808和sub_172D0

参数1 pediy_imyang_lXcaTALmow
图片描述
对应trace文件

以 0x0000000000000070看一下具体处理

参数1 中的 0x70 -> 0x51，是通过如下进行的查询0x70的位置是0x51

最终结果为

参数1
图片描述
加密后

参数3 www.pediy.com&kanxue
图片描述

图片描述
trace文件中参数3只用了16个字符进行后续的处理
这里的处理和参数1处理的方式相同

图片描述

参数3
图片描述
加密后

使用参数1加密后的字节和参数3加密后的字节进行计算加密生成结果

图片描述

拼接结果
A4B8B6C8 9EB47F4F 29B44D47 C7382F85
和结果对比

797903090001 a4b8b6c8 9eb47f4f 29b44d47 c7382f85 1ad57618 f9b820c5 d55298cb 5f941c8c

根据以上的分析可以得到算法如下：
参数1加密后字节

参数3加密字节

以图一为例，计算如下：

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2020-9-2 09:43 被neilwu编辑，原因：

上传的附件：

neil_trace_0831_01.txt （482.04kb，43次下载）

收藏・68

免费・18

支持

打赏 + 1.00雪花

Editor

打赏次数 1

雪花 + 1.00

Editor

+1.00

2020/09/02

精品文章～

最新回复 (19)
number_Z 雪币： 2244 活跃值： (1901) 能力值： ( LV7，RANK：100 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	number_Z 2 2 楼 tql 2020-9-2 11:30 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1775 关注私信	Editor 3 楼 tql！感谢分享！ 2020-9-2 12:30 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 4 楼 Editor tql！感谢分享！感谢看雪 2020-9-2 12:46 0
LowRebSwrd 雪币： 6573 活跃值： (3893) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 190 粉丝 137 关注私信	LowRebSwrd 4 5 楼感谢分享！ 2020-9-2 13:51 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 6 楼 LowRebSwrd 感谢分享！ 2020-9-2 17:38 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 7 楼 number_Z tql[em_91] 2020-9-2 17:39 0
lookzo 雪币： 6 活跃值： (1146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 8 楼有时间再研究哈，多谢楼主分享 2020-9-3 08:15 0
cnzzh 雪币： 3372 活跃值： (762) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 31 粉丝 11 关注私信	cnzzh 9 楼感谢分享 2020-9-3 16:33 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 10 楼学到了.. 2020-9-4 21:21 0
Mars. 雪币： 158 活跃值： (755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 5 关注私信	Mars. 11 楼 66666学以致用 2020-9-5 14:21 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 12 楼 666 2020-9-5 17:46 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1775 关注私信	Editor 13 楼欢迎更多的小伙伴参与到 #30天写作挑战#中来！活动详情：https://bbs.pediy.com/thread-261705.htm 2020-9-7 16:53 0
疯子Tear 雪币： 3212 活跃值： (753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 14 楼 tql 2020-9-8 06:06 0
Zard_ 雪币： 499 活跃值： (2189) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 77 粉丝 6 关注私信	Zard_ 15 楼这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？ 2020-9-8 16:45 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 16 楼 Zard_ 这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？[em_71] 求样本 2020-9-8 17:27 0
Zard_ 雪币： 499 活跃值： (2189) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 77 粉丝 6 关注私信	Zard_ 17 楼 ddctf.zip 链接: https://pan.baidu.com/s/1u38ccXmLTfDgbdle5tB8vg 密码: c5d0 三道题好像有两道都用了ollvm混淆 2020-9-8 19:14 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 18 楼 Zard_ ddctf.zip 链接: https://pan.baidu.com/s/1u38ccXmLTfDgbdle5tB8vg 密码: c5d0 [em_71] 三道题好像有两道都用了ollvm ... 谢谢你 2020-9-8 21:34 0
长野飘荡雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	长野飘荡 19 楼你好请问trace时，类似 F42D1E08: got SIGSEGV signal (Segmentation violation) (exc.code b, tid 19422) 这样的报错是什么原因啊，用的是ida7.0 2022-2-18 12:39 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 20 楼支持一下 2023-3-14 13:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

neilwu

发帖

167

回帖

219

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
number_Z 雪币： 2244 活跃值： (1901) 能力值： ( LV7，RANK：100 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	number_Z 2 2 楼 tql 2020-9-2 11:30 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1775 关注私信	Editor 3 楼 tql！感谢分享！ 2020-9-2 12:30 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 4 楼 Editor tql！感谢分享！感谢看雪 2020-9-2 12:46 0
LowRebSwrd 雪币： 6573 活跃值： (3893) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 190 粉丝 137 关注私信	LowRebSwrd 4 5 楼感谢分享！ 2020-9-2 13:51 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 6 楼 LowRebSwrd 感谢分享！ 2020-9-2 17:38 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 7 楼 number_Z tql[em_91] 2020-9-2 17:39 0
lookzo 雪币： 6 活跃值： (1146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 8 楼有时间再研究哈，多谢楼主分享 2020-9-3 08:15 0
cnzzh 雪币： 3372 活跃值： (762) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 31 粉丝 11 关注私信	cnzzh 9 楼感谢分享 2020-9-3 16:33 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 10 楼学到了.. 2020-9-4 21:21 0
Mars. 雪币： 158 活跃值： (755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 5 关注私信	Mars. 11 楼 66666学以致用 2020-9-5 14:21 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 12 楼 666 2020-9-5 17:46 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1775 关注私信	Editor 13 楼欢迎更多的小伙伴参与到 #30天写作挑战#中来！活动详情：https://bbs.pediy.com/thread-261705.htm 2020-9-7 16:53 0
疯子Tear 雪币： 3212 活跃值： (753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	疯子Tear 14 楼 tql 2020-9-8 06:06 0
Zard_ 雪币： 499 活跃值： (2189) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 77 粉丝 6 关注私信	Zard_ 15 楼这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？ 2020-9-8 16:45 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 16 楼 Zard_ 这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？[em_71] 求样本 2020-9-8 17:27 0
Zard_ 雪币： 499 活跃值： (2189) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 77 粉丝 6 关注私信	Zard_ 17 楼 ddctf.zip 链接: https://pan.baidu.com/s/1u38ccXmLTfDgbdle5tB8vg 密码: c5d0 三道题好像有两道都用了ollvm混淆 2020-9-8 19:14 0
neilwu 雪币： 10944 活跃值： (7329) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 167 粉丝 98 关注私信	neilwu 1 18 楼 Zard_ ddctf.zip 链接: https://pan.baidu.com/s/1u38ccXmLTfDgbdle5tB8vg 密码: c5d0 [em_71] 三道题好像有两道都用了ollvm ... 谢谢你 2020-9-8 21:34 0
长野飘荡雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	长野飘荡 19 楼你好请问trace时，类似 F42D1E08: got SIGSEGV signal (Segmentation violation) (exc.code b, tid 19422) 这样的报错是什么原因啊，用的是ida7.0 2022-2-18 12:39 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 20 楼支持一下 2023-3-14 13:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复