[原创]libsgmain反混淆及VM还原-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]libsgmain反混淆及VM还原

2021-5-23 16:39 69000

[原创]libsgmain反混淆及VM还原

krash

2021-5-23 16:39

69000

查看主题内容

收藏・114

点赞・36

打赏

打赏 + 200.00雪花

猫盾科技

打赏次数 1

雪花 + 200.00

猫盾科技

+200.00

2021/05/23

精品文章～

最新回复 (43) ◀ 1 2
gtict 雪币： 2425 活跃值： (2282) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 490 粉丝 5 关注私信	gtict 2021-5-24 19:55 26 楼 0 大神的trace工具是基于啥写出来的
挤蹭菌衣雪币： 5235 活跃值： (3255) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 115 粉丝 115 关注私信	挤蹭菌衣 1 2021-5-24 21:52 27 楼 0 krash 自制的。土豪用的是哪个？厉害我穷人只能用ida大佬有什么推荐吗
大帅锅雪币： 16154 活跃值： (5961) 能力值： ( LV13，RANK：861 ) 在线值：发帖 34 回帖 174 粉丝 66 关注私信	大帅锅 4 2021-5-25 10:40 28 楼 0 只想知道，trace是如何保证每个真实块能覆盖到的
bitt 雪币： 435 活跃值： (1127) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2021-5-26 11:06 29 楼 0 牛啊
327135569 雪币： 262 活跃值： (357) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	327135569 2021-5-28 13:48 30 楼 0 强, 很强. 如果 ida 有 IR 层分析的深度支持就好了..
lhxdiao 雪币： 2063 活跃值： (3823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 173 粉丝 110 关注私信	lhxdiao 2021-5-30 08:54 31 楼 0 太牛了，我这种懒人都是取巧用编译器优化，直接把无用片段压缩删除掉，编译器优化出来的东西跟没有混淆之前一样
wx_0xC05StackOver 雪币： 225 活跃值： (1487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 13 关注私信	wx_0xC05StackOver 2021-5-31 14:40 32 楼 0 其实是受限于体积和性能，我们没有对vmhandle做混淆处理，和litevm的开发沟通了下，对方表示vmprotect强其实也是强在对于vm做了混淆如果这里上混淆的话效果要好不少，但是体积和性能又不允许，这是个折衷的方案。顺便litevm的开发表示最新版本已经在酝酿中了23333
suuuuu 雪币： 839 活跃值： (5014) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 295 粉丝 7 关注私信	suuuuu 2021-5-31 16:55 33 楼 0 着实nb
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-5-31 19:58 34 楼 0 wx_0xC05StackOver 其实是受限于体积和性能，我们没有对vmhandle做混淆处理，和litevm的开发沟通了下，对方表示vmprotect强其实也是强在对于vm做了混淆如果这里上混淆的话效果要好不少，但是体积和性能又不允 ... 我没还原过PC的VMP，不知道VMP的handler是如何混淆的，我人个无责任猜测VMP强很可能不是因为混淆了handler。之前还原@爱吃菠菜的安卓VmpCrackMe一枚，一个类似VMP VM Crackme，还原它有下面两个难点，我觉得可能会比混淆handler难处理： VM基于栈的虚拟机，还原它的第一步就需要把栈虚拟机转换成寄存器机。还原完整CFG。这个VM跳转目标是动态计算的，在需要进行条件跳转时，VM Crackme会在栈上动态构建一个跳转表，根据条件码(nzcv)计算跳转case。还有恢复跳转条件对应的跳转目标。
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-7 21:34 35 楼 0 krash 不是，自己的，unicorn比较难改host的内存吧。 unicorn可直接映射host memory，其实是qemu的能力
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-7-8 20:21 36 楼 0 Rprop unicorn可直接映射host memory，其实是qemu的能力可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-8 22:08 37 楼 0 krash 可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？是的，就是这个意思，之前实现了一套，挺方便的
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-8 22:14 38 楼 0 krash 可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？不过我是用unicorn的cpp接口做的，其它语言估计会麻烦点，只是unicorn的qemu滞后太多，估计unicorn2性能会优点，不过用来trace足够用了
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-7-8 22:46 39 楼 0 Rprop 不过我是用unicorn的cpp接口做的，其它语言估计会麻烦点，只是unicorn的qemu滞后太多，估计unicorn2性能会优点，不过用来trace足够用了了解。等后面我搞x86的时候再研究下。
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-8 23:18 40 楼 0 krash 了解。等后面我搞x86的时候再研究下。 x86?现在这套trace是用类似ptrace在设备上运行的? 另外大佬的goron还维护吗
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-7-8 23:50 41 楼 0 Rprop x86?现在这套trace是用类似ptrace在设备上运行的? 另外大佬的goron还维护吗现在这套只支持arm64，以前还支持arm32。arm32指令集太复杂，坑太多，后面重构的时候直接不考虑了。没有用ptrace，改的rom。 goron没有在维护，主要是没有什么好想法。现在觉得有trace，搞些自动化分析trace的工具，啥混淆都能分析。
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2021-7-12 20:13 42 楼 0 太牛逼了
martinkro 雪币： 281 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 0 关注私信	martinkro 2021-11-26 02:01 43 楼 0 有类似开源码的Trace工具吗？能否说下实现原理
JohnDo 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	JohnDo 2022-10-13 09:48 44 楼 0 Hello. I am interested in Aliexpress mobile app "x-sign" algorithm reverse. We can talk qq 2474633860. 你好！. 我对Aliexpress移动应用程序"x-sign"算法感兴趣。我们可以聊qq2474633860.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

krash

发帖

回帖

180

RANK

关注

私信

他的文章

[原创]使用时间无关调试技术(Timeless Debugging)高效分析混淆代码

[原创]基于函数虚拟机trace的开源实现（poc，半成品）

[原创]libsgmain反混淆及VM还原

[原创]阿里2015第二届安全挑战赛第三题题解

[原创]使用Binary Ninja去除ollvm流程平坦混淆

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) ◀ 1 2
gtict 雪币： 2425 活跃值： (2282) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 490 粉丝 5 关注私信	gtict 2021-5-24 19:55 26 楼 0 大神的trace工具是基于啥写出来的
挤蹭菌衣雪币： 5235 活跃值： (3255) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 115 粉丝 115 关注私信	挤蹭菌衣 1 2021-5-24 21:52 27 楼 0 krash 自制的。土豪用的是哪个？厉害我穷人只能用ida大佬有什么推荐吗
大帅锅雪币： 16154 活跃值： (5961) 能力值： ( LV13，RANK：861 ) 在线值：发帖 34 回帖 174 粉丝 66 关注私信	大帅锅 4 2021-5-25 10:40 28 楼 0 只想知道，trace是如何保证每个真实块能覆盖到的
bitt 雪币： 435 活跃值： (1127) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2021-5-26 11:06 29 楼 0 牛啊
327135569 雪币： 262 活跃值： (357) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	327135569 2021-5-28 13:48 30 楼 0 强, 很强. 如果 ida 有 IR 层分析的深度支持就好了..
lhxdiao 雪币： 2063 活跃值： (3823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 173 粉丝 110 关注私信	lhxdiao 2021-5-30 08:54 31 楼 0 太牛了，我这种懒人都是取巧用编译器优化，直接把无用片段压缩删除掉，编译器优化出来的东西跟没有混淆之前一样
wx_0xC05StackOver 雪币： 225 活跃值： (1487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 13 关注私信	wx_0xC05StackOver 2021-5-31 14:40 32 楼 0 其实是受限于体积和性能，我们没有对vmhandle做混淆处理，和litevm的开发沟通了下，对方表示vmprotect强其实也是强在对于vm做了混淆如果这里上混淆的话效果要好不少，但是体积和性能又不允许，这是个折衷的方案。顺便litevm的开发表示最新版本已经在酝酿中了23333
suuuuu 雪币： 839 活跃值： (5014) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 295 粉丝 7 关注私信	suuuuu 2021-5-31 16:55 33 楼 0 着实nb
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-5-31 19:58 34 楼 0 wx_0xC05StackOver 其实是受限于体积和性能，我们没有对vmhandle做混淆处理，和litevm的开发沟通了下，对方表示vmprotect强其实也是强在对于vm做了混淆如果这里上混淆的话效果要好不少，但是体积和性能又不允 ... 我没还原过PC的VMP，不知道VMP的handler是如何混淆的，我人个无责任猜测VMP强很可能不是因为混淆了handler。之前还原@爱吃菠菜的安卓VmpCrackMe一枚，一个类似VMP VM Crackme，还原它有下面两个难点，我觉得可能会比混淆handler难处理： VM基于栈的虚拟机，还原它的第一步就需要把栈虚拟机转换成寄存器机。还原完整CFG。这个VM跳转目标是动态计算的，在需要进行条件跳转时，VM Crackme会在栈上动态构建一个跳转表，根据条件码(nzcv)计算跳转case。还有恢复跳转条件对应的跳转目标。
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-7 21:34 35 楼 0 krash 不是，自己的，unicorn比较难改host的内存吧。 unicorn可直接映射host memory，其实是qemu的能力
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-7-8 20:21 36 楼 0 Rprop unicorn可直接映射host memory，其实是qemu的能力可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-8 22:08 37 楼 0 krash 可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？是的，就是这个意思，之前实现了一套，挺方便的
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-8 22:14 38 楼 0 krash 可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？不过我是用unicorn的cpp接口做的，其它语言估计会麻烦点，只是unicorn的qemu滞后太多，估计unicorn2性能会优点，不过用来trace足够用了
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-7-8 22:46 39 楼 0 Rprop 不过我是用unicorn的cpp接口做的，其它语言估计会麻烦点，只是unicorn的qemu滞后太多，估计unicorn2性能会优点，不过用来trace足够用了了解。等后面我搞x86的时候再研究下。
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 821 粉丝 11 关注私信	Rprop 2021-7-8 23:18 40 楼 0 krash 了解。等后面我搞x86的时候再研究下。 x86?现在这套trace是用类似ptrace在设备上运行的? 另外大佬的goron还维护吗
krash 雪币： 3835 活跃值： (4169) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 225 关注私信	krash 4 2021-7-8 23:50 41 楼 0 Rprop x86?现在这套trace是用类似ptrace在设备上运行的? 另外大佬的goron还维护吗现在这套只支持arm64，以前还支持arm32。arm32指令集太复杂，坑太多，后面重构的时候直接不考虑了。没有用ptrace，改的rom。 goron没有在维护，主要是没有什么好想法。现在觉得有trace，搞些自动化分析trace的工具，啥混淆都能分析。
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2021-7-12 20:13 42 楼 0 太牛逼了
martinkro 雪币： 281 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 0 关注私信	martinkro 2021-11-26 02:01 43 楼 0 有类似开源码的Trace工具吗？能否说下实现原理
JohnDo 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	JohnDo 2022-10-13 09:48 44 楼 0 Hello. I am interested in Aliexpress mobile app "x-sign" algorithm reverse. We can talk qq 2474633860. 你好！. 我对Aliexpress移动应用程序"x-sign"算法感兴趣。我们可以聊qq2474633860.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复