[分享]某团间接跳转混淆还原-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]某团间接跳转混淆还原

2023-3-27 16:35 9844

[分享]某团间接跳转混淆还原

Ssssone

2023-3-27 16:35

9844

前阵子分析某团，so层有比较重的混淆，除了一些简单的可整体nop的花指令以外，还有大量的间接跳转混淆（原理参考https://github.com/amimo/goron），刚好前阵子在龙哥那学了几招，三下五除二，就把间接跳转处理干净了，这里做个脚本分享：

100

101

102

103

104

105

import keystone
import ida_bytes
import ida_ida
import ida_segment
import ida_ua
import idaapi
import idautils
import idc
 
# 初始化汇编器的架构和模式
ks = keystone.Ks(keystone.KS_ARCH_ARM64, keystone.KS_MODE_LITTLE_ENDIAN)
 
 
def getAddrRange():
    start = ida_ida.inf_get_min_ea()
    size = ida_ida.inf_get_max_ea() - start
    # 将地址范围限定于text节
    for seg in idautils.Segments():
        seg = idaapi.getseg(seg)
        segName = ida_segment.get_segm_name(seg)
        if segName == ".text":
            start = seg.start_ea
            size = seg.size()
    return start, size
 
 
def binSearch(start, end, pattern):
    matches = []
    addr = start
    if end == 0:
        end = idc.BADADDR
    if end != idc.BADADDR:
        end = end + 1
    while True:
        addr = ida_bytes.bin_search(addr, end, bytes.fromhex(pattern), None, idaapi.BIN_SEARCH_FORWARD,
                                    idaapi.BIN_SEARCH_NOCASE)
        if addr == idc.BADADDR:
            break
        else:
            matches.append(addr)
            addr = addr + 1
    return matches
 
 
def generate(code, addr):
    encoding, _ = ks.asm(code, addr)
    return encoding
 
# 不一定全，可以碰到再处理
full_nop_list = [
    "FF0301D1E0FB00A90100009480000010FE0300AAFF030191C0035FD6E0FB7CA9",
    "FFC300D1E07B01A90100009480000010FE0300AAFFC30091C0035FD6E07B7EA9",
    "FF4301D1E07B02A90100009480000010FE0300AAFF430191C0035FD6E07B7DA9",
    "FF4301D1E0FB00A90100009480000010FE0300AAFF430191C0035FD6E0FB7BA9",
    "FF4301D1E0FB01A90100009480000010FE0300AAFF430191C0035FD6E0FB7CA9",
    "E0FB3EA90100009460000010FE0300AAC0035FD6E0FB7EA9",
    "E07B3EA90100009460000010FE0300AAC0035FD6E07B7EA9",
    "E07B3FA90100009460000010FE0300AAC0035FD6E07B7FA9"
]
 
for i in range(len(full_nop_list)):
    matches = binSearch(0, 0, full_nop_list[i])
    for matche in matches:
        print("flower" + str(i) + ":", hex(matche))
        nopCode = generate("nop", 0)
        ida_bytes.patch_bytes(matche, bytes(nopCode) * int(len(full_nop_list[i]) / 8))
 
 
# 获取代码段的起始地址和长度
start, size = getAddrRange()
insn = ida_ua.insn_t()
 
indirect_jump_addr = []
for i in range(0, size, 4):
    addr = start + i
    # decode_insn 返回长度，ARM64即4，无法解析则返回0
    if idaapi.decode_insn(insn, addr):
        mnemonic = insn.get_canon_mnem()
        if mnemonic == "BL" and insn.Op1.addr == 0x14DFC:
            indirect_jump_addr.append(addr)
            # print(hex(addr))
 
for i in range(0, size, 4):
    addr = start + i
    # decode_insn 返回长度，ARM64即4，无法解析则返回0
    if idaapi.decode_insn(insn, addr):
        mnemonic = insn.get_canon_mnem()
        local_addr = insn.Op1.addr
        if mnemonic == "B" and local_addr in indirect_jump_addr:
            firstinsn = ida_ua.insn_t()
            idaapi.decode_insn(firstinsn, addr - 4)
            if firstinsn.get_canon_mnem() == 'MOV':
                value = firstinsn.Op2.value
            elif firstinsn.get_canon_mnem() == 'LDR':
                value = ida_bytes.get_dword(firstinsn.Op2.addr)            
            else:
                print("需要额外处理")
 
            offset_addr = local_addr + 4 + 4 * value
            target_addr = local_addr + 4 + ida_bytes.get_dword(offset_addr)
            print("flower_indirect local_addr",hex(addr),"target_addr",hex(target_addr))
 
            code = f"B {hex(target_addr)}"
            bCode = generate(code, addr)
            ida_bytes.patch_bytes(addr, bytes(bCode))

最后放一下龙哥星球的邀请链接~IDA脚本反混淆系列文章真心赞！

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

#脱壳反混淆

上传的附件：

libmtguard.so （1.40MB，66次下载）

收藏・25

点赞・8

打赏

最新回复 (18)
万里星河雪币： 52 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 503 粉丝 3 关注私信	万里星河 2023-3-27 17:58 2 楼 0 支持一下
黑龙lilad 雪币： 490 活跃值： (1500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 7 关注私信	黑龙lilad 2023-3-28 10:02 3 楼 0 支持一下
0xEA 雪币： 2944 活跃值： (3921) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 1 关注私信	0xEA 2023-3-28 10:20 4 楼 0 龙哥yyds
ForrestV 雪币： 1030 活跃值： (334) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	ForrestV 2023-3-30 10:29 5 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
DirtyAngle 雪币： 52 活跃值： (3274) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 106 粉丝 41 关注私信	DirtyAngle 2023-3-30 13:31 6 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
mb_ixzqfdot 雪币： 772 活跃值： (1309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	mb_ixzqfdot 2023-3-31 00:22 7 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
MsScotch 雪币： 2938 活跃值： (1353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 339 粉丝 2 关注私信	MsScotch 2023-5-3 21:45 8 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
704088 雪币： 603 活跃值： (6342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 1 关注私信	704088 2023-5-3 23:45 9 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
秋狝雪币： 19124 活跃值： (28707) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1534 粉丝 28 关注私信	秋狝 2023-5-4 09:07 10 楼 1 怀念
shinratensei 雪币： 229 活跃值： (213252) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 12 关注私信	shinratensei 1 2023-5-4 09:47 11 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
小堆雪币： 3125 活跃值： (1162) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 21 粉丝 29 关注私信	小堆 1 2023-5-4 09:57 12 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
安和桥南雪币： 2842 活跃值： (2842) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 31 粉丝 12 关注私信	安和桥南 2023-5-4 11:48 13 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
704088 雪币： 603 活跃值： (6342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 1 关注私信	704088 2023-5-4 13:22 14 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
Azhan_ 雪币： 690 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 2 关注私信	Azhan_ 2023-5-8 14:49 15 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
guduzhe 雪币： 2674 活跃值： (4443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 162 粉丝 23 关注私信	guduzhe 2023-5-8 15:23 16 楼 0 什么风气？看雪自己都搞课程，没有互联网共享的大环境了。
v0id_ 雪币： 8270 活跃值： (4786) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 245 粉丝 32 关注私信	v0id_ 2023-5-8 16:19 17 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
Mrack 雪币： 447 活跃值： (1438) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 18 粉丝 7 关注私信	Mrack 2023-5-8 16:21 18 楼 0 看雪现在什么风气~引流一下，卖课去了~无比怀念五年前、十年前~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复