-
-
[原创]符号执行去除BR指令混淆
-
发表于: 2024-3-1 16:44
-
直接进入正题,BR指令的混淆,该指令完全打断了IDA的反编译流程,导致我们无法看见看清反编译流程,一般的BR指令后续都紧跟两个跳转地址具体原理如下图所示
理清出了原理,那我们怎么去除了,这里我们选择的用miasm(东西是好东西,但是资料基本没有)符号执行去除,符号执行的优点在于它到未生成ir块和不确定的分支的时候会自己停止如下图所示,利用该特点我们只需要进行树的遍历即可探索出"基本所有分支"
生成的下次跳转地址,就是下面这个表达式
该表达式其实是Miasm中的ExprCond表达式,因此我们只需要解析出ExprCond表达式即可,通过阅读miasm源码我们可知
src1和src2就是我们想要的 @64[0x545B0] + 0xFFFFFFFFF775B348和@64[0x54558] + 0xFFFFFFFFF775B348,因此通过如下方式
可获取到下次跳转到地址。
得到地址后,我们就需要对pc值和irdst值进行hook修改,如修改成@64[0x545B0] + 0xFFFFFFFFF775B348,这样树就会向左下方进行遍历,但是需要注意的是miasm的SymbolicExecutionEngine并不具备指令hook的功能,因此我们需要阅读源码进行特定式修改,通过阅读miasm源码我们发现在SymbolicExecutionEngine中的eval_updt_irblock
进行了指令的解析和执行,因此我们只需重写该方法即可
但是事情没有我们想象的那么简单,当我们把pc hook修改为特定的值的时候,符号引擎并没有像我们想象中的继续向下执行如下图所示
通过阅读miasm源码发现地址不在ircfg的block中导致的(如下图所示)
解决方式也很简单,直接向asmcfg中添加即可
在实际的分支遍历中我们遇到有些分支产生的下一个地址始终是常量(ExprInt),正常的情况应该产生ExprCond表达式才对,产生这个原因可能是需要满足某种循环后才会产生ExprCond表达式。解决方式也很简单,先通过br指令我们先遍历出所有条件设置指令如csel指令如下图所示
然后我们hook该条件位置,强行进行符号设置即可
这个应该是最简单的一块了直接展示代码
最后于 2024-12-17 10:31
被大帅锅编辑
,原因:
赞赏记录
参与人
雪币
留言
时间
chpeagle
这个讨论对我很有帮助,谢谢!
18小时前
天水姜伯约
谢谢你的细致分析,受益匪浅!
2025-4-18 02:50
qj111111
这个讨论对我很有帮助,谢谢!
2025-4-17 22:50
爱吃菠菜
谢谢你的细致分析,受益匪浅!
2025-4-17 20:38
mb_fefksfsl
这个讨论对我很有帮助,谢谢!
2025-4-17 19:50
顽劣
期待更多优质内容的分享,论坛有你更精彩!
2025-4-17 18:13
我爱学习ing
感谢你的贡献,论坛因你而更加精彩!
2025-4-17 02:18
Hur1k
谢谢你的细致分析,受益匪浅!
2025-4-16 18:40
as3ng
这个讨论对我很有帮助,谢谢!
2025-4-16 17:50
走码观花
感谢你分享这么好的资源!
2025-4-15 16:56
wx_ㅤ_683
为你点赞!
2025-4-12 10:14
MsScotch
请注意发帖规范,保持良好的讨论环境!
2025-4-9 20:55
岁月。
为你点赞!
2025-4-9 19:03
cdline
期待更多优质内容的分享,论坛有你更精彩!
2025-4-8 19:44
DaiXiaoHuer
感谢你的贡献,论坛因你而更加精彩!
2025-4-8 19:27
null0bj
非常支持你的观点!
2025-4-8 18:10
GloryRef
感谢你的积极参与,期待更多精彩内容!
2025-4-8 17:18
fbibik
你的分享对大家帮助很大,非常感谢!
2025-4-8 15:08
suminglan
你的帖子非常有用,感谢分享!
2025-4-7 16:38
MochaCo
非常支持你的观点!
2025-4-5 17:51
mb_hdiusdyf
这个讨论对我很有帮助,谢谢!
2025-4-3 19:42
longloo
为你点赞!
2025-4-3 14:02
SoulCat_
感谢你的贡献,论坛因你而更加精彩!
2025-4-3 13:55
九天666
期待更多优质内容的分享,论坛有你更精彩!
2025-4-3 01:54
Aar0n
为你点赞!
2025-3-31 23:35
pwtc
感谢你分享这么好的资源!
2025-3-26 09:18
khfrefhewhfl
感谢你的积极参与,期待更多精彩内容!
2025-3-26 00:25
lrhtony
谢谢你的细致分析,受益匪浅!
2025-3-25 08:43
沈聽白
谢谢你的细致分析,受益匪浅!
2025-3-24 14:00
richor
期待更多优质内容的分享,论坛有你更精彩!
2025-3-24 11:39
wangkaicj
谢谢你的细致分析,受益匪浅!
2025-3-24 10:14
Obuchi
非常支持你的观点!
2025-3-24 09:23
mb_zpyvrtaq
你的分享对大家帮助很大,非常感谢!
2025-3-21 15:28
mb_fuapjvbc
感谢你分享这么好的资源!
2025-3-20 17:55
疯子Tear
你的分享对大家帮助很大,非常感谢!
2025-3-20 11:01
mb_bcgnztsa
谢谢你的细致分析,受益匪浅!
2025-3-20 09:36
qqizai
你的分享对大家帮助很大,非常感谢!
2025-3-20 09:15
采臣·宁
感谢你的贡献,论坛因你而更加精彩!
2025-3-19 17:00
老小白
感谢你分享这么好的资源!
2025-3-19 16:57
无罗
感谢你的积极参与,期待更多精彩内容!
2025-3-19 16:36
shutterbug
你的帖子非常有用,感谢分享!
2025-3-14 09:33
noobbb
为你点赞!
2025-3-13 11:46
git_28896xpnn
你的分享对大家帮助很大,非常感谢!
2025-3-13 06:40
Tom-gogo
谢谢你的细致分析,受益匪浅!
2025-3-12 16:36
烟花易冷丶
期待更多优质内容的分享,论坛有你更精彩!
2025-3-12 09:46
码小芹
期待更多优质内容的分享,论坛有你更精彩!
2025-3-7 10:47
Circ1e
你的分享对大家帮助很大,非常感谢!
2025-3-6 09:59
櫬木汐
期待更多优质内容的分享,论坛有你更精彩!
2025-3-6 07:49
sry4leave
你的分享对大家帮助很大,非常感谢!
2025-3-5 17:32
mb_zkmamubf
感谢你的贡献,论坛因你而更加精彩!
2025-3-4 16:46
tlsn
感谢你的积极参与,期待更多精彩内容!
2025-3-1 22:37
FANGG3
你的帖子非常有用,感谢分享!
2025-2-26 23:07
Lychow
谢谢你的细致分析,受益匪浅!
2025-2-22 14:12
Arahat0
为你点赞!
2025-2-21 23:01
misaka10031
谢谢你的细致分析,受益匪浅!
2025-2-21 16:13
sice
你的分享对大家帮助很大,非常感谢!
2025-2-19 05:53
mb_qqnashwi
你的分享对大家帮助很大,非常感谢!
2025-2-18 15:46
wx_funcrever
非常支持你的观点!
2025-2-17 16:57
mb_sexbafmg
感谢你分享这么好的资源!
2025-2-17 15:42
逆向小玖
感谢你的积极参与,期待更多精彩内容!
2025-2-14 21:54
SaturdayMor
感谢你的贡献,论坛因你而更加精彩!
2025-2-14 11:49
孤独的街
感谢你分享这么好的资源!
2025-2-14 00:26
Je2em1ah
这个讨论对我很有帮助,谢谢!
2025-2-13 20:52
又见飞刀z
你的帖子非常有用,感谢分享!
2025-2-13 13:27
醉染
为你点赞!
2025-2-10 18:28
淡定小胖子
期待更多优质内容的分享,论坛有你更精彩!
2025-2-10 09:53
z2zccc
为你点赞!
2025-2-9 15:04
windsorwy
你的帖子非常有用,感谢分享!
2025-2-7 15:01
dreameriii
感谢你的贡献,论坛因你而更加精彩!
2025-2-5 14:13
IT醉猫
感谢你的积极参与,期待更多精彩内容!
2025-1-23 12:12
huaerxiela
感谢你分享这么好的资源!
2025-1-22 23:04
mb_jeplbefy
+1
感谢你的贡献,论坛因你而更加精彩!
2025-1-22 03:19
mb_ghpdxkem
感谢你的积极参与,期待更多精彩内容!
2025-1-21 00:34
ChuXinﻬ.
你的帖子非常有用,感谢分享!
2025-1-20 14:57
不呲咔呲
感谢你的积极参与,期待更多精彩内容!
2025-1-20 14:13
mb_ybdyagsx
+1
感谢你的积极参与,期待更多精彩内容!
2025-1-20 02:10
mb_xawbizfi
非常支持你的观点!
2025-1-18 17:24
mb_ytalqmdq
感谢你的积极参与,期待更多精彩内容!
2025-1-18 08:17
1111theo
感谢你的贡献,论坛因你而更加精彩!
2025-1-16 17:33
Halo。
感谢你分享这么好的资源!
2025-1-13 12:00
coderL
你的分享对大家帮助很大,非常感谢!
2025-1-13 09:22
pureGavin
+10
谢谢你的细致分析,受益匪浅!
2025-1-12 14:28
dbdmxkjy
你的分享对大家帮助很大,非常感谢!
2025-1-11 10:35
cydian
为你点赞!
2025-1-8 11:12
陈某人
谢谢你的细致分析,受益匪浅!
2025-1-6 11:32
UltraTC
感谢你分享这么好的资源!
2025-1-6 09:40
北门观雪
你的分享对大家帮助很大,非常感谢!
2025-1-5 23:52
GitRoy
+1
为你点赞!
2025-1-3 16:52
微笑:)
感谢你分享这么好的资源!
2025-1-3 16:00
houjingyi
谢谢你的细致分析,受益匪浅!
2025-1-3 14:45
matrump
为你点赞!
2025-1-3 11:08
王麻子本人
你的帖子非常有用,感谢分享!
2024-12-30 14:22
mb_iesvmzqc
非常支持你的观点!
2024-12-30 12:07
mb_cbitsgsv
为你点赞!
2024-12-30 11:20
cppasm
为你点赞!
2024-12-30 10:43
wx_byte
你的分享对大家帮助很大,非常感谢!
2024-12-30 10:29
ifyou
你的帖子非常有用,感谢分享!
2024-12-30 09:32
Bayerischen
非常支持你的观点!
2024-12-30 09:28
AEVE
这个讨论对我很有帮助,谢谢!
2024-12-28 12:08
lialong
为你点赞!
2024-12-28 10:58
狄人3
+1
这个讨论对我很有帮助,谢谢!
2024-12-28 10:10
小菜鸭
你的帖子非常有用,感谢分享!
2024-12-27 17:19
mb_jonavsjj
非常支持你的观点!
2024-12-26 15:05
mb_itubdqgo
这个讨论对我很有帮助,谢谢!
2024-12-21 18:28
mb_ygbywaup
感谢你的贡献,论坛因你而更加精彩!
2024-12-19 16:00
by_Lin
谢谢你的细致分析,受益匪浅!
2024-12-18 04:35
beimingyouyu
+2
点赞
2024-6-24 10:39
PLEBFE
为你点赞~
2024-5-31 01:06
周游列国
为你点赞~
2024-5-15 14:27
马到成功*
为你点赞~
2024-4-28 14:06
霸气压萝莉
为你点赞~
2024-4-24 22:00
0xK4ws
为你点赞~
2024-4-8 00:28
sky东
为你点赞~
2024-3-13 16:37
bookadmin
为你点赞~
2024-3-8 15:32
简单的简单
为你点赞~
2024-3-8 11:54
Tokameine
为你点赞~
2024-3-6 12:37
轻快笑着行
为你点赞~
2024-3-6 11:02
g0mx
为你点赞~
2024-3-6 10:34
你瞒我瞒
为你点赞~
2024-3-4 15:03
wInFoG_2017
为你点赞~
2024-3-4 13:37
令狐双
为你点赞~
2024-3-3 10:14
st0ne
为你点赞~
2024-3-1 19:45
大帅锅
为你点赞~
2024-3-1 17:01
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
tql
|
|
|
|
|
|
|
|
|
|
|
|
这种很明显就是函数的结尾 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
