[原创]记一次基于unidbg模拟执行的去除ollvm混淆-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]记一次基于unidbg模拟执行的去除ollvm混淆

发表于: 2023-5-3 23:00 60955

[原创]记一次基于unidbg模拟执行的去除ollvm混淆

乐子人

活跃值

3

2023-5-3 23:00

60955

查看主题内容

收藏・177

免费・65

支持

分享

最新回复 (61) ◀ 1 2 3
教教我吧~ 雪币： 119 活跃值： (1307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	教教我吧~ 51 楼太棒了，非常感谢分享！ 2024-6-20 16:04 0
教教我吧~ 雪币： 119 活跃值： (1307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	教教我吧~ 52 楼 qdesy 请问reorderblock()函数中最后的这段代码里，toend和0x5E674L都是怎么得到的。toend被硬编码成private static final long toend = 0x5E6B ... 2.获取索引值顺序中的第一个值，找到对应的真实块。将主分发器处patch为跳转向第一个真实块的跳转指令。 3.根据真实块结束时的新的索引值，寻找到对应的真实块，将结尾处patch为跳转到下一个真实块【这里应该有两个真实块：True真实块、False真实块, 所以通过控制前面的来控制分支走向。假设认为W8 == 1 是走的【False真实块】分支当修改程序走向来说时（更改W8的值为1），带有ret的最后一个真实块的起始地址为0x5E77C，其前一个真实块地址是0x5E6BC 那么需要将结尾处patch为跳转到下一个真实块即直接跳转到带有ret的真实块（不经过主分发器了） —————————————————————— 同理W8 == 0的【真实块分支】，也是如此。】最后于 2024-6-20 16:32 被教教我吧~编辑，原因： 2024-6-20 16:27 0
教教我吧~ 雪币： 119 活跃值： (1307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	教教我吧~ 53 楼 New对象处按照我说的，加入造成死循环，那么就按照楼主说的，标志当前位置，下次调用procBr时就patch，退出我是每次搞掉一个BR X9就生成一个so，这样可以防止死循环吧 2024-6-20 16:35 0
blue_sky 雪币： 251 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	blue_sky 54 楼 mark，向大佬学习 2024-6-22 10:13 0
养只猫不好么雪币： 1490 活跃值： (3511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 99 粉丝 1 关注私信	养只猫不好么 55 楼赞，感谢分享！ 2024-7-5 14:25 0
养只猫不好么雪币： 1490 活跃值： (3511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 99 粉丝 1 关注私信	养只猫不好么 56 楼感谢分享 2024-7-11 18:03 0
dkxzl 雪币： 287 活跃值： (603) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 57 楼在执行 vm.loadLibrary(new File("libc.so"),false); 的时候， Exception in thread "main" java.lang.ArithmeticException: / by zero at net.fornwall.jelf.ElfDynamicStructure.<init>(ElfDynamicStructure.java:321) int num_entries = pltRelSize / relEntrySize; 这行代码relEntrySize为0引发了异常 2024-7-15 16:30 0
乐子人雪币： 3232 活跃值： (5077) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 90 粉丝 466 关注私信	乐子人 3 58 楼 dkxzl 在执行 vm.loadLibrary(new File("libc.so"),false); 的时候， Exception in thread "main" ... 这个手动把relEntrySize赋值为0x18 2024-7-15 21:56 0
mb_dmkmqsyg 雪币： 25 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_dmkmqsyg 59 楼 heyonly 感谢大佬的分享，在还原平坦化的时候，代码中的tbs.add(new TrueBlock(0x6e142ec8L,0x5E6B0)); 这个 0x5E6B0，不知道怎么来的，要是上传在分析时的样本就好了 ... 大哥，这个值哪来的能教下吗 2024-11-8 11:08 0
呼吸24K纯氧雪币： 28 活跃值： (884) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 2 关注私信	呼吸24K纯氧 60 楼感谢分享 2025-3-27 20:18 0
Aar0n 雪币： 1018 活跃值： (581) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 3 关注私信	Aar0n 61 楼大佬请问有修改后的文件和so案例学习一下吗 2025-3-31 21:56 0
mb_tblcnbam 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_tblcnbam 62 楼加载so提示这个要怎么搞呢，Exception in thread "main" java.lang.ArithmeticException: / by zero at net.fornwall.jelf.ElfDynamicStructure.<init>(ElfDynamicStructure.java:321) at net.fornwall.jelf.ElfSegment$3.computeValue(ElfSegment.java:153) at net.fornwall.jelf.ElfSegment$3.computeValue(ElfSegment.java:150) at net.fornwall.jelf.MemoizedObject.getValue(MemoizedObject.java:21) at net.fornwall.jelf.ElfSegment.getDynamicStructure(ElfSegment.java:255) at com.github.unidbg.linux.AndroidElfLoader.loadInternal(AndroidElfLoader.java:434) at com.github.unidbg.linux.AndroidElfLoader.loadInternal(AndroidElfLoader.java:477) at com.github.unidbg.linux.AndroidElfLoader.loadInternal(AndroidElfLoader.java:175) at com.github.unidbg.linux.AndroidElfLoader.loadInternal(AndroidElfLoader.java:63) at com.github.unidbg.spi.AbstractLoader.load(AbstractLoader.java:237) at com.github.unidbg.linux.android.dvm.BaseVM.loadLibrary(BaseVM.java:333) at com.test.test2.AntiOllvm.<init>(AntiOllvm.java:71) at com.test.test2.AntiOllvm.main(AntiOllvm.java:112) 4天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

乐子人

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区