[分享]看雪3W班试题AntiOllvm去混淆-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]看雪3W班试题AntiOllvm去混淆

发表于: 2022-1-7 11:19 11911

[分享]看雪3W班试题AntiOllvm去混淆

北辰制作

2022-1-7 11:19

11911

来自看雪论坛对ollvm的算法进行逆向分析和还原，本文对照文章所指出的函数进行去混淆

使用命令

第一条命令3个函数体较小，可以一次性去混淆。sub_1D1E8 函数较大单独运行避免占用内存太多

生成文件

去混淆之前
JNI_ONLoad_before

去混淆之后
JNI_ONLoad_after

去混淆之前
sub_12ae4_before

去混淆之后
sub_12ae4_after

去混淆之前
sub_1d1e8_before

去混淆之后
sub_1d1e8_after

去混淆之前
sub_26300_before

去混淆之后
sub_26300_after

去混淆之前
sub_1b89c_before

去混淆之后
sub_1b89c_after

antiollvm.exe --config D:\retdec\install\share\retdec\decompiler-config.json .\libnative-lib.so --select-ranges 0x26300-0x26698,0x1b89c-0x1c918 --select-functions JNI_OnLoad

antiollvm.exe --config D:\retdec\install\share\retdec\decompiler-config.json .\libnative-lib.so --select-ranges 0x1d1e8-26300

antiollvm.exe --config D:\retdec\install\share\retdec\decompiler-config.json .\libnative-lib.so --select-ranges 0x26300-0x26698,0x1b89c-0x1c918 --select-functions JNI_OnLoad

antiollvm.exe --config D:\retdec\install\share\retdec\decompiler-config.json .\libnative-lib.so --select-ranges 0x1d1e8-26300

antiollvm.exe --config D:\retdec\install\share\retdec\decompiler-config.json .\libnative-lib.so --select-ranges 0x26300-0x26698,0x1b89c-0x1c918 --select-functions JNI_OnLoad

antiollvm.exe --config D:\retdec\install\share\retdec\decompiler-config.json .\libnative-lib.so --select-ranges 0x1d1e8-26300

文件都可在 AntiOllvm 下载
libnative-lib.so 原版混淆的二进制文件
libnative-lib-anti.so 去混淆后的二进制文件

JNI_ONLoad 正常混淆，导出函数可以使用 --select-functions 选项设置名称。该函数主要调用 RegisterNatives 注册C函数
sub_12AE4 函数范围 0x12AE4-0x13AAC 存在很多小的混淆块，函数包含异常处理，还使用了向量指令，目前暂未添加该向量指令和异常处理，后续版本添加。
sub_1D1E8 函数范围 0x1D1E8-0x26300 函数体较大，存在很多小混淆块
sub_26300 函数范围 0x26300-0x26698 代码较少
sub_1B89C 函数范围 0x1B89C-0x1C918 函数，代码量中等

查看使用帮助
查看视频视频

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#脱壳反混淆

收藏・6

免费・2

支持

最新回复 (6)
海风月影雪币： 7325 活跃值： (3803) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2309 粉丝 119 关注私信	海风月影 22 2 楼 antiollvm.exe 在哪下载呢？广告？ 2022-1-7 11:52 0
sunsjw 雪币： 8838 活跃值： (5331) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1254 粉丝 15 关注私信	sunsjw 1 3 楼广告贴，鉴定完毕 2022-1-7 12:50 0
北辰制作雪币： 3442 活跃值： (2517) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 68 关注私信	北辰制作 4 楼海风月影 antiollvm.exe 在哪下载呢？广告？目前还未提供下载，过几天后提供，可以关注我的github仓库，到时会放在上面 2022-1-7 13:19 0
nevinhappy 雪币： 5283 活跃值： (9858) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 490 粉丝 39 关注私信	nevinhappy 2 5 楼帖子有点赞，也得加个“踩”的功能，不然费劲！！！ 2022-1-7 14:06 0
执着的追求雪币： 4001 活跃值： (4111) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 18 粉丝 169 关注私信	执着的追求 2 6 楼这个是利用LLVM框架做的吗？曾经尝试过这个方法，没经过编译优化的还好，但是优化后实在是不知道怎么下手了！！！ 2022-1-7 14:50 0
北辰制作雪币： 3442 活跃值： (2517) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 68 关注私信	北辰制作 7 楼。_879907 这个是利用LLVM框架做的吗？曾经尝试过这个方法，没经过编译优化的还好，但是优化后实在是不知道怎么下手了！！！ retdec反编译加各种优化处理加llvm优化编译，肯定是能应对编译优化后的，不然就没意义了 2022-1-7 15:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

北辰制作

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
海风月影雪币： 7325 活跃值： (3803) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2309 粉丝 119 关注私信	海风月影 22 2 楼 antiollvm.exe 在哪下载呢？广告？ 2022-1-7 11:52 0
sunsjw 雪币： 8838 活跃值： (5331) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1254 粉丝 15 关注私信	sunsjw 1 3 楼广告贴，鉴定完毕 2022-1-7 12:50 0
北辰制作雪币： 3442 活跃值： (2517) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 68 关注私信	北辰制作 4 楼海风月影 antiollvm.exe 在哪下载呢？广告？目前还未提供下载，过几天后提供，可以关注我的github仓库，到时会放在上面 2022-1-7 13:19 0
nevinhappy 雪币： 5283 活跃值： (9858) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 490 粉丝 39 关注私信	nevinhappy 2 5 楼帖子有点赞，也得加个“踩”的功能，不然费劲！！！ 2022-1-7 14:06 0
执着的追求雪币： 4001 活跃值： (4111) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 18 粉丝 169 关注私信	执着的追求 2 6 楼这个是利用LLVM框架做的吗？曾经尝试过这个方法，没经过编译优化的还好，但是优化后实在是不知道怎么下手了！！！ 2022-1-7 14:50 0
北辰制作雪币： 3442 活跃值： (2517) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 17 粉丝 68 关注私信	北辰制作 7 楼。_879907 这个是利用LLVM框架做的吗？曾经尝试过这个方法，没经过编译优化的还好，但是优化后实在是不知道怎么下手了！！！ retdec反编译加各种优化处理加llvm优化编译，肯定是能应对编译优化后的，不然就没意义了 2022-1-7 15:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复