[原创]使用unicorn模拟执行去除混淆

发表于: 2024-1-17 06:57 21661

[原创]使用unicorn模拟执行去除混淆

st0ne

2024-1-17 06:57

21661

0. 前言

在分析某app的so时遇到了间接跳转类型的混淆，不去掉的话无法使用ida f5来静态分析，f5之后就长下面这样：

Alt text

本文记录一下使用python+unicorn模拟执行来去掉混淆的过程。

1. 分析混淆的模式

混淆的汇编代码如下：
Alt text
可以看到，这个代码块进行了一通运算，然后通过 br x8，跳转到寄存器x8中保存的地址，仔细分析这个x8的来源，可以观察到如下的固定模式：

CMP             X19, #0

MOV             W9, #0x40 ; '@'         ; X9 = 0x40

MOV             W10, #0x38 ; '8'        ; X10 = 0x38

ADRP            X25, #off_212C70@PAGE

CSEL            X9, X10, X9, EQ         ; if X19 == 0 then X9 = X10

ADD             X25, X25, #off_212C70@PAGEOFF ; X25 = 0x212C70

LDR             X8, [X25,X9]            ; X8 = qword[X25 + X9]

MOV             W9, #0xFE53             ; X9 = 0xFE53

MOV             W10, #0x82B4            ; X10 = 0x82B4

CSEL            X9, X10, X9, EQ         ; if X19 == 0 then X9 = X10

SUB             X8, X8, X9              ; X8 = X8 - X9
BR              X8                      ; 跳转到X8

先看 LDR X8, [X25,X9]，X25寄存器是一张偏移表的基址，这条指令从偏移表+X9出取出8字节数据放到了X8中，而X9的值来源于csel指令是0x38或者是0x40，由cmp的结果决定，如果X19等于0，则X9此时等于0x38，负责等于0x40。

再看 SUB X8, X8, X9，从偏移表取出一个8字节数据到X8之后，用X8减X9，结果放到X8,X9的值也是来源于csel指令，0x82B4或者是0xFE53

最后，通过br X8跳转到目标地址

也就是说，根据X9值的不同，最终跳转的地址会有两个，把正常的分支指令混淆成了上面这种模式，手动还原混淆可以把br X8 patch成：

1 2	`beq addr1` `b addr2`

2. 去混淆的方式

本来想的是直接用python来匹配这种模式，然后手动计算出两个分支的地址，最后patch，但是后面发现，一个被混淆的函数中只有第一个混淆块会给X25赋值偏移表的地址，其他的块就直接用X25的值了，不会再次赋值，比如下面这个：
Alt text

这样的话就不能把这些被混淆的块单独的拿出来看，因为缺少计算分支地址的必要条件，必须从函数的第一个被混淆的块出发，获取到偏移表的地址才行。如果还想通过手动的计算出目的地址，那就需要手动去确定函数的边界，这样就太麻烦了。

所以最后还是选择使通过模拟执行的方式，从函数头开始执行，跑通每一个块，在执行到混淆块的时候，计算出分支地址，最后进行patch

这里模拟执行的框架选择unicorn，之前学习过无名侠大佬用unicorn去ollvm混淆的文章，这里借鉴一下思路

3. 写脚本

3.1 加载so

由于代码中有需要访问偏移表，这些偏移表是在so的第二个segment，这个segment的内存便宜和文件便宜不一样，跟windows加载pe一样存在一个拉伸的效果，所以为了模拟执行代码时可以正常访问到偏移表的数据，我们手动将so拉伸成内存视图：

def load_elf(filename):

    global img_size

    global out_data

    segs = []

    with open(filename, 'rb') as f:

        out_data = f.read()

        for seg in ELFFile(f).iter_segments('PT_LOAD'):

            print('file_off:%s, va: %s, size: %s' %(hex(seg['p_offset']), hex(seg['p_vaddr']), hex(seg['p_filesz'])))

            segs.append((seg['p_offset'],seg['p_vaddr'], seg['p_filesz'], seg.data()))
 
    img_size = segs[-1][1] + segs[-1][2]

    byte_arr = bytearray([0] * img_size)

    for seg in segs:

        vaddr = seg[1]

        size = seg[2]

        data = seg[3]

        byte_arr[vaddr: vaddr + size] = bytearray(data)
 
    return byte_arr

3.2 初始化unicorn

def init_unicorn(file_name):

    global bin_data

    global uc
 
    #装载一下so到内存

    bin_data = bytes(load_elf(file_name))
 
    uc = Uc(UC_ARCH_ARM64, UC_MODE_ARM)
 
    uc.mem_map(0x80000000, 8 * 0x1000 * 0x1000)

    uc.mem_map(0, 8 * 0x1000 * 0x1000)

    # 写入so数据

    uc.mem_write(0, bin_data)

    #设置sp寄存器

    uc.reg_write(UC_ARM64_REG_SP, 0x80000000 + 0x1000 * 0x1000 * 6)

    #设置指令执行hook，执行每条指令都会走hook_code

    uc.hook_add(UC_HOOK_CODE, hook_code)

    #设置非法内存访问hook

    uc.hook_add(UC_HOOK_MEM_UNMAPPED, hook_mem_access)
 
    barr = uc.mem_read(0x144320, 8)

    print(barr)

3.3 如何跑通一个函数的所有路径

这里借鉴无名侠大佬的思路，先把入口节点放到队列中，然后不停从队列中取节点，以这个节点为起点模拟执行，直到下一个br reg，或者是ret。

一个节点包括地址和上下文环境(寄存器)，在模拟执行之前，需要把寄存器的值设置好，同时在找到分支之后，也需要保存现场的上下文环境。

在找到下一个br reg之后，计算出分支地址，将分支地址放到队列中，继续循环即可。

def deobf():

    # 初始化unicorn

    filename = 'libxxxx.so'

    patched_filename = 'out.so'

    start_addr = 0x0103168
 
    init_unicorn(filename)
 
    q = queue.Queue()

    q.put((start_addr, None)) # 入口函数是第一个节点，放到队列中去，队列中是(地址，上下文)

    traced = {} # 跑过的节点

    while not q.empty(): #一直循环，直到队列为空

        addr, context = q.get()

        traced[addr] = 1 # 跑过了

        s = run(addr, context) #开始模拟执行，找br reg
 
        if s is None:

            continue
 
        if len(s) == 2: #单分支

            if s[0] not in traced:

                q.put(s) #将分支节点放到队列中

        else: #双分支

            if s[0] not in traced:

                q.put((s[0], s[2]))#将分支节点放到队列中

            if s[1] not in traced:

                q.put((s[1], s[2]))#将分支节点放到队列中
 
def run(addr, context):

    global uc

    global is_success

    global block_flow
 
    #开始模拟执行，函数返回说明在hook_code中执行了emu_stop

    set_context(uc, context)#设置寄存器环境

    uc.emu_start(addr, 0x10000)

    if is_success == True:

        is_success = False

        return block_flow[addr] #返回分支信息和context

3.4 hook_code

hook_code是在unicorn中注册的指令执行回调，当执行uc.emu_start(addr, 0x10000)之后，就会开始模拟执行指令，同时调用hook_code，在hook_code中有很多重要的逻辑。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

最后于 2024-1-17 06:59 被st0ne编辑，原因：修改格式

#脱壳反混淆 #混淆加固 #NDK分析 #逆向分析

上传的附件：

main.py （14.92kb，257次下载）

收藏・64

免费・17

支持

赞赏记录

参与人

雪币

留言

时间

DMemory

你的帖子非常有用，感谢分享！

2024-11-7 17:46

sinker_

感谢你的贡献，论坛因你而更加精彩！

2024-9-29 21:15

螺丝兔

感谢你的贡献，论坛因你而更加精彩！

2024-8-14 19:13

养只猫不好么

感谢你的积极参与，期待更多精彩内容！

2024-7-5 10:30

梦_魇

你的帖子非常有用，感谢分享！

2024-7-4 11:03

Lnju

谢谢你的细致分析，受益匪浅！

2024-6-25 14:21

KsharpFans

你的分享对大家帮助很大，非常感谢！

2024-5-31 13:17

PLEBFE

为你点赞~

2024-5-18 01:00

shishichen

为你点赞~

2024-5-15 22:05

东方玻璃

为你点赞~

2024-4-10 16:59

coneco

为你点赞~

2024-2-29 09:46

奋斗小菜鸟

为你点赞~

2024-2-28 12:40

slcn

为你点赞~

2024-2-14 08:39

tank小王子

为你点赞~

2024-2-8 16:52

狄人3

为你点赞~

2024-1-17 10:17

令狐双

为你点赞~

2024-1-17 10:16

你瞒我瞒

为你点赞~

2024-1-17 09:15

最新回复 (28) 1 2 ▶
mb_rjdrqvpa 雪币： 6401 活跃值： (5527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 3 关注私信	mb_rjdrqvpa 2 楼佬，能给个样本链接或者版本号不？这个APP，我去年分析签名算法时，混淆与文章不一样，所以有点困惑你文章的样本是什么时候的？此外，友情提醒：它家主要难点是在风控上，非常激进。如果是业务需求搞它，建议早日更换目标最后于 2024-1-17 10:42 被mb_rjdrqvpa编辑，原因： 2024-1-17 10:41 0
mudebug 雪币： 9622 活跃值： (6865) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 317 粉丝 48 关注私信	mudebug 3 楼 ida中可以手动添加节区 2024-1-17 12:27 0
秋狝雪币： 3984 活跃值： (31431) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 4 楼感谢分享 2024-1-17 13:50 1
iyue_t 雪币： 1740 活跃值： (3594) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 71 粉丝 41 关注私信	iyue_t 5 楼感谢分享 2024-1-17 16:38 0
wx_Deity 雪币： 244 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	wx_Deity 6 楼 mb_rjdrqvpa 佬，能给个样本链接或者版本号不？这个APP，我去年分析签名算法时，混淆与文章不一样，所以有点困惑你文章的样本是什么时候的？此外，友情提醒：它家主要难点是在风控上，非常激进。如果是业务需求搞它，建议早日 ... 都脱敏了还能看出APP吗 2024-1-17 17:16 0
星斗雪币： 35 活跃值： (1065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	星斗 7 楼某【x】黄【x】书？ 2024-1-17 17:40 0
mb_rjdrqvpa 雪币： 6401 活跃值： (5527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 3 关注私信	mb_rjdrqvpa 8 楼 wx_Deity 都脱敏了还能看出APP吗[em_4] 脚本里面连so名字都给了，相当于已经告诉你是什么APP了 2024-1-17 21:44 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 9 楼删除此评论最后于 2024-1-17 22:24 被st0ne编辑，原因： 1 2024-1-17 22:23 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 10 楼 mb_rjdrqvpa 佬，能给个样本链接或者版本号不？这个APP，我去年分析签名算法时，混淆与文章不一样，所以有点困惑你文章的样本是什么时候的？此外，友情提醒：它家主要难点是在风控上，非常激进。如果是业务需求搞它，建议早日 ... 版本号是12.17.404，就是在官网下的最新的。感谢提示，不过我就是分析着玩的，不是业务需求。 2024-1-17 22:24 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 11 楼好的，感谢大佬 2024-1-17 22:24 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 12 楼 mudebug ida中可以手动添加节区感谢大佬 2024-1-17 22:25 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 13 楼 mb_rjdrqvpa 脚本里面连so名字都给了，相当于已经告诉你是什么APP了大意了，忘记删了 2024-1-17 22:25 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 14 楼星斗某【x】黄【x】书？可不敢 2024-1-17 22:25 0
wx_Deity 雪币： 244 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	wx_Deity 15 楼 mb_rjdrqvpa 脚本里面连so名字都给了，相当于已经告诉你是什么APP了啊，我没下载脚本 2024-1-18 09:18 0
Roger 雪币： 2945 活跃值： (3405) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 82 粉丝 87 关注私信	Roger 1 16 楼膜拜大佬 2024-1-18 10:11 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 17 楼大佬，ins_help这个包找不到怎么办 2024-2-8 11:22 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 18 楼大佬有技术交流群吗 2024-2-8 12:25 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 19 楼 mb_cmrpibxs 大佬，ins_help这个包找不到怎么办这个是自己封装的包 2024-2-20 17:19 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 20 楼这个暂时没有 2024-2-21 17:29 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 21 楼 st0ne 这个暂时没有大佬能加个qq交流下吗 2024-2-28 10:26 0
我是红领巾雪币： 110 活跃值： (1570) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 26 粉丝 44 关注私信	我是红领巾 22 楼佬，学习了 2024-2-28 16:05 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 23 楼 mb_cmrpibxs 大佬能加个qq交流下吗我加你吧 2024-2-28 22:12 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 24 楼 st0ne 我加你吧 qq 1654554961 2024-2-29 08:52 0
mb_xfbrbpeu 雪币： 158 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_xfbrbpeu 25 楼大佬能发下ins_help嘛，qq_base64: MTI3NzYwMTE1Nw== 2024-6-25 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

st0ne

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
mb_rjdrqvpa 雪币： 6401 活跃值： (5527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 3 关注私信	mb_rjdrqvpa 2 楼佬，能给个样本链接或者版本号不？这个APP，我去年分析签名算法时，混淆与文章不一样，所以有点困惑你文章的样本是什么时候的？此外，友情提醒：它家主要难点是在风控上，非常激进。如果是业务需求搞它，建议早日更换目标最后于 2024-1-17 10:42 被mb_rjdrqvpa编辑，原因： 2024-1-17 10:41 0
mudebug 雪币： 9622 活跃值： (6865) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 317 粉丝 48 关注私信	mudebug 3 楼 ida中可以手动添加节区 2024-1-17 12:27 0
秋狝雪币： 3984 活跃值： (31431) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 4 楼感谢分享 2024-1-17 13:50 1
iyue_t 雪币： 1740 活跃值： (3594) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 71 粉丝 41 关注私信	iyue_t 5 楼感谢分享 2024-1-17 16:38 0
wx_Deity 雪币： 244 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	wx_Deity 6 楼 mb_rjdrqvpa 佬，能给个样本链接或者版本号不？这个APP，我去年分析签名算法时，混淆与文章不一样，所以有点困惑你文章的样本是什么时候的？此外，友情提醒：它家主要难点是在风控上，非常激进。如果是业务需求搞它，建议早日 ... 都脱敏了还能看出APP吗 2024-1-17 17:16 0
星斗雪币： 35 活跃值： (1065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	星斗 7 楼某【x】黄【x】书？ 2024-1-17 17:40 0
mb_rjdrqvpa 雪币： 6401 活跃值： (5527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 3 关注私信	mb_rjdrqvpa 8 楼 wx_Deity 都脱敏了还能看出APP吗[em_4] 脚本里面连so名字都给了，相当于已经告诉你是什么APP了 2024-1-17 21:44 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 9 楼删除此评论最后于 2024-1-17 22:24 被st0ne编辑，原因： 1 2024-1-17 22:23 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 10 楼 mb_rjdrqvpa 佬，能给个样本链接或者版本号不？这个APP，我去年分析签名算法时，混淆与文章不一样，所以有点困惑你文章的样本是什么时候的？此外，友情提醒：它家主要难点是在风控上，非常激进。如果是业务需求搞它，建议早日 ... 版本号是12.17.404，就是在官网下的最新的。感谢提示，不过我就是分析着玩的，不是业务需求。 2024-1-17 22:24 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 11 楼好的，感谢大佬 2024-1-17 22:24 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 12 楼 mudebug ida中可以手动添加节区感谢大佬 2024-1-17 22:25 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 13 楼 mb_rjdrqvpa 脚本里面连so名字都给了，相当于已经告诉你是什么APP了大意了，忘记删了 2024-1-17 22:25 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 14 楼星斗某【x】黄【x】书？可不敢 2024-1-17 22:25 0
wx_Deity 雪币： 244 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	wx_Deity 15 楼 mb_rjdrqvpa 脚本里面连so名字都给了，相当于已经告诉你是什么APP了啊，我没下载脚本 2024-1-18 09:18 0
Roger 雪币： 2945 活跃值： (3405) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 82 粉丝 87 关注私信	Roger 1 16 楼膜拜大佬 2024-1-18 10:11 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 17 楼大佬，ins_help这个包找不到怎么办 2024-2-8 11:22 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 18 楼大佬有技术交流群吗 2024-2-8 12:25 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 19 楼 mb_cmrpibxs 大佬，ins_help这个包找不到怎么办这个是自己封装的包 2024-2-20 17:19 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 20 楼这个暂时没有 2024-2-21 17:29 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 21 楼 st0ne 这个暂时没有大佬能加个qq交流下吗 2024-2-28 10:26 0
我是红领巾雪币： 110 活跃值： (1570) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 26 粉丝 44 关注私信	我是红领巾 22 楼佬，学习了 2024-2-28 16:05 0
st0ne 雪币： 2116 活跃值： (4417) 能力值： ( LV6，RANK：80 ) 在线值：发帖 5 回帖 59 粉丝 110 关注私信	st0ne 1 23 楼 mb_cmrpibxs 大佬能加个qq交流下吗我加你吧 2024-2-28 22:12 0
mb_cmrpibxs 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_cmrpibxs 24 楼 st0ne 我加你吧 qq 1654554961 2024-2-29 08:52 0
mb_xfbrbpeu 雪币： 158 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_xfbrbpeu 25 楼大佬能发下ins_help嘛，qq_base64: MTI3NzYwMTE1Nw== 2024-6-25 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复