-
-
[原创]记一次基于unidbg模拟执行的去除ollvm混淆
-
发表于: 2023-5-3 23:00
-
|
|
|---|---|
|
|
太棒了,非常感谢分享!
|
|
|
2.获取索引值顺序中的第一个值,找到对应的真实块。将主分发器处patch为跳转向第一个真实块的跳转指令。
3.根据真实块结束时的新的索引值,寻找到对应的真实块,将结尾处patch为跳转到下一个真实块【这里应该有两个真实块:True真实块、False真实块, 所以通过控制前面的
来控制分支走向。 假设认为W8 == 1 是走的【False真实块】分支
当修改程序走向来说时(更改W8的值为1),带有ret的最后一个真实块的起始地址为0x5E77C,其前一个真实块地址是0x5E6BC
那么需要将结尾处patch为跳转到下一个真实块
即直接跳转到带有ret的真实块(不经过主分发器了)
—————————————————————— 同理W8 == 0的【真实块分支】,也是如此。
】
最后于 2024-6-20 16:32
被教教我吧~编辑
,原因:
|
|
|
我是每次搞掉一个BR X9就生成一个so,这样可以防止死循环吧 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这个手动把relEntrySize赋值为0x18 |
|
|
大哥,这个值哪来的能教下吗 |
qdesy
