最近学习了OLLVM,代码工程链接。我对原有代码添加了注释并做了代码分析。
预处理:将函数中的 switch 指令降级为一系列比较和跳转指令。通过LegacyLowerSwitch.cpp内的LowerSwitch类。
初始化平坦化上下文。
第一个基本块 最后插入指令,跳转到loopEntry。
loopEnd跳回loopEntry,构成循环。
为loopEntry基本块创建 switch 命令。
创建空switch指令。例如:switch i64 %switchVar14, label %switchDefault []。
将所有原始基本块加入switch的case中(除了第一个基本块,因为它已经从OrigBb删除)。执行完成后举例:
更改所有基本块的终止指令(排除第一个基本块,因为它已经跳转到loopEntry,排除返回基本块)。
将寄存器变量降级为栈变量:我们在上面新增命令的时候可能破坏了SSA信息,识别到寄存器变量,然后通过调用DemoteRegToStack、DemotePHIToStack函数将寄存器变量改为由alloc分配的变量。逻辑详情见《将寄存器变量降级为栈变量》一节。
再次调用第1步相同的逻辑,将函数中的 switch 指令降级为一系列比较和跳转指令。
代码:
switch i64 %switchVar14, label %switchDefault [
i64 -9068860717773574370, label %SwConvNodeBlock_1_
i64 -9068860718768112474, label %SwConvNodeBlock_2_11
i64 -9068860719814512285, label %SwConvLeafBlock_3_9
i64 -9068860717911456551, label %SwConvLeafBlock_3_7
......
i64 -9068860717544530469, label %sw.bb
i64 -9068860717742850501, label %sw.bb2
......
i64 -9068860717718176324, label %if.then
i64 -9068860718702902671, label %if.else
i64 -9068860718179539988, label %NewDefault
i64 -9068860718325703097, label %sw.default
i64 -9068860718244552267, label %return
]
void fixStack(Function *const F) {
std::vector<PHINode *> TmpPhi;
std::vector<Instruction *> TmpReg;
BasicBlock * const BbEntry = &*F->begin();
do {
TmpPhi.clear();
TmpReg.clear();
for (Function::iterator TmpBBIter = F->begin(); TmpBBIter != F->end();
++TmpBBIter) {
for (BasicBlock::iterator TmpInstIter = TmpBBIter->begin();
TmpInstIter != TmpBBIter->end(); ++TmpInstIter) {
if (isa<PHINode>(TmpInstIter)) {
PHINode *const Phi = cast<PHINode>(TmpInstIter);
TmpPhi.push_back(Phi);
continue;
}
const bool IsAllocaInst = isa<AllocaInst>(TmpInstIter);
const bool IsEntryBB = TmpInstIter->getParent() == BbEntry;
if (IsAllocaInst && IsEntryBB) {
continue;
}
const bool IsValueEscapes = valueEscapes(&*TmpInstIter);
const bool IsUsedOutsideOfBlock =
TmpInstIter->isUsedOutsideOfBlock(&*TmpBBIter);
if (IsValueEscapes || IsUsedOutsideOfBlock) {
TmpReg.push_back(&*TmpInstIter);
continue;
}
}
}
for (unsigned int I = 0; I != TmpReg.size(); ++I) {
Instruction *const Inst = TmpReg.at(I);
DemoteRegToStack(*Inst);
}
for (unsigned int I = 0; I != TmpPhi.size(); ++I) {
PHINode *const TmpPHINode = TmpPhi.at(I);
DemotePHIToStack(TmpPHINode);
}
} while (TmpReg.size() != 0 || TmpPhi.size() != 0);
}
- 将除了返回基本块的所有基本块的终止指令替换成跳转到一个中间基本块,这个中间基本块根据当前的变量值来确定跳转到哪个目标基本块。
- 将函数中的 switch 指令降级为一系列比较和跳转指令。
预处理:将函数中的 switch 指令降级为一系列比较和跳转指令。通过LegacyLowerSwitch.cpp内的LowerSwitch类。
初始化平坦化上下文。
- 初始化一个随机密钥,用于打乱 case 值以增加反混淆难度,存储到
ScramblingKey变量内。
- 获取函数第一个基本块指针,存储到
FirstBasicBlock变量内。
- 遍历函数内所有基本块存放到名为
OrigBb的列表(vector)内。
- 获取所有基本块列表后:
- 移除第一个基本块(通常为主入口),后面会重新安排流程
- 如果第一个基本块以条件分支结束,则拆分它以便插入控制流结构
- 这一步如果出现这几种情况,会直接退出控制流平坦化:
- 如果存在 invoke 指令则放弃混淆
- 如果只有一个基本块,无需平坦化
- 删除 第一个基本块 的最后一条指令,为插入新的控制流结构做准备。
- 在 第一个基本块 最后插入新的 switch 控制变量,名为**
%switchVar**。
- 在 第一个基本块 最后插入 store 命令,将加密后的值存储到**
%switchVar**。加密秘钥是ScramblingKey,下面所有加密秘钥都是它。
- 创建
loopEntry和loopEnd基本块。在当前步骤后,loopEnd 会添加跳转到 loopEntry 的语句,形成循环。
- 在loopEntry的最后插入load命令,load被switch命令用到的条件变量**
%switchVar**,插入前基本块是空的。例如:%switchVar14 = load i64, ptr %switchVar, align 8
switchDefault基本块:
- 创建 switchDefault 基本块,它是默认 case 块所跳转的地方,它插入到
loopEnd之后。
- switchDefault 最后插入跳转到 loopEnd 的指令,例如:
br label %loopEnd。
第一个基本块 最后插入指令,跳转到loopEntry。
loopEnd跳回loopEntry,构成循环。
为loopEntry基本块创建 switch 命令。
创建空switch指令。例如:switch i64 %switchVar14, label %switchDefault []。
将所有原始基本块加入switch的case中(除了第一个基本块,因为它已经从OrigBb删除)。执行完成后举例:
switch i64 %switchVar14, label %switchDefault [
i64 -9068860717773574370, label %SwConvNodeBlock_1_
i64 -9068860718768112474, label %SwConvNodeBlock_2_11
i64 -9068860719814512285, label %SwConvLeafBlock_3_9
i64 -9068860717911456551, label %SwConvLeafBlock_3_7
......
i64 -9068860717544530469, label %sw.bb
i64 -9068860717742850501, label %sw.bb2
......
i64 -9068860717718176324, label %if.then
i64 -9068860718702902671, label %if.else
i64 -9068860718179539988, label %NewDefault
i64 -9068860718325703097, label %sw.default
i64 -9068860718244552267, label %return
]
更改所有基本块的终止指令(排除第一个基本块,因为它已经跳转到loopEntry,排除返回基本块)。
- 获取后继块并删除终结指令。
- **查找后继目标基本块在第5步中对应的case值。**例如上面的:
i64 -9068860717773574370、i64 -9068860718768112474。
- 将case值存储到**
%switchVar**中,第4步会用到,指令例如:store i64 %27, ptr %switchVar, align 8。
- 提升对抗强度:可以对case值进行加密,然后在
store指令前生成解密指令,解密后再存储到**%switchVar**中。
- 跳转到
loopEnd。loopEnd会调转到loopEntry,会运行在上面第2.8和第5步中创建的指令,这些指令会用到上一步存储到**%switchVar**中的值,它是switch的条件值,根据它选择下一个要跳转到的目标块。
将寄存器变量降级为栈变量:我们在上面新增命令的时候可能破坏了SSA信息,识别到寄存器变量,然后通过调用DemoteRegToStack、DemotePHIToStack函数将寄存器变量改为由alloc分配的变量。逻辑详情见《将寄存器变量降级为栈变量》一节。
再次调用第1步相同的逻辑,将函数中的 switch 指令降级为一系列比较和跳转指令。
- 初始化一个随机密钥,用于打乱 case 值以增加反混淆难度,存储到
ScramblingKey变量内。
- 获取函数第一个基本块指针,存储到
FirstBasicBlock变量内。
- 遍历函数内所有基本块存放到名为
OrigBb的列表(vector)内。
- 获取所有基本块列表后:
- 移除第一个基本块(通常为主入口),后面会重新安排流程
- 如果第一个基本块以条件分支结束,则拆分它以便插入控制流结构
- 这一步如果出现这几种情况,会直接退出控制流平坦化:
- 如果存在 invoke 指令则放弃混淆
- 如果只有一个基本块,无需平坦化
- 删除 第一个基本块 的最后一条指令,为插入新的控制流结构做准备。
- 在 第一个基本块 最后插入新的 switch 控制变量,名为**
%switchVar**。
- 在 第一个基本块 最后插入 store 命令,将加密后的值存储到**
%switchVar**。加密秘钥是ScramblingKey,下面所有加密秘钥都是它。
- 创建
loopEntry和loopEnd基本块。在当前步骤后,loopEnd 会添加跳转到 loopEntry 的语句,形成循环。
- 在loopEntry的最后插入load命令,load被switch命令用到的条件变量**
%switchVar**,插入前基本块是空的。例如:%switchVar14 = load i64, ptr %switchVar, align 8
switchDefault基本块:
- 创建 switchDefault 基本块,它是默认 case 块所跳转的地方,它插入到
loopEnd之后。
- switchDefault 最后插入跳转到 loopEnd 的指令,例如:
br label %loopEnd。
- 获取所有基本块列表后:
- 移除第一个基本块(通常为主入口),后面会重新安排流程
- 如果第一个基本块以条件分支结束,则拆分它以便插入控制流结构
- 这一步如果出现这几种情况,会直接退出控制流平坦化:
- 如果存在 invoke 指令则放弃混淆
- 如果只有一个基本块,无需平坦化
- 移除第一个基本块(通常为主入口),后面会重新安排流程
- 如果第一个基本块以条件分支结束,则拆分它以便插入控制流结构
- 如果存在 invoke 指令则放弃混淆
- 如果只有一个基本块,无需平坦化
- 创建 switchDefault 基本块,它是默认 case 块所跳转的地方,它插入到
loopEnd之后。
- switchDefault 最后插入跳转到 loopEnd 的指令,例如:
br label %loopEnd。
创建空switch指令。例如:switch i64 %switchVar14, label %switchDefault []。
将所有原始基本块加入switch的case中(除了第一个基本块,因为它已经从OrigBb删除)。执行完成后举例:
switch i64 %switchVar14, label %switchDefault [
i64 -9068860717773574370, label %SwConvNodeBlock_1_
i64 -9068860718768112474, label %SwConvNodeBlock_2_11
i64 -9068860719814512285, label %SwConvLeafBlock_3_9
i64 -9068860717911456551, label %SwConvLeafBlock_3_7
......
i64 -9068860717544530469, label %sw.bb
i64 -9068860717742850501, label %sw.bb2
......
i64 -9068860717718176324, label %if.then
i64 -9068860718702902671, label %if.else
i64 -9068860718179539988, label %NewDefault
i64 -9068860718325703097, label %sw.default
i64 -9068860718244552267, label %return
]
- 获取后继块并删除终结指令。
- **查找后继目标基本块在第5步中对应的case值。**例如上面的:
i64 -9068860717773574370、i64 -9068860718768112474。
- 将case值存储到**
%switchVar**中,第4步会用到,指令例如:store i64 %27, ptr %switchVar, align 8。
- 提升对抗强度:可以对case值进行加密,然后在
store指令前生成解密指令,解密后再存储到**%switchVar**中。
- 跳转到
loopEnd。loopEnd会调转到loopEntry,会运行在上面第2.8和第5步中创建的指令,这些指令会用到上一步存储到**%switchVar**中的值,它是switch的条件值,根据它选择下一个要跳转到的目标块。
- 提升对抗强度:可以对case值进行加密,然后在
store指令前生成解密指令,解密后再存储到**%switchVar**中。
将除了返回基本块的所有基本块的终止指令替换成跳转到一个中间基本块,这个中间基本块根据当前的变量值来确定跳转到哪个目标基本块。将函数中的 switch 指令降级为一系列比较和跳转指令。预处理:将函数中的 switch 指令降级为一系列比较和跳转指令。通过LegacyLowerSwitch.cpp内的LowerSwitch类。
初始化平坦化上下文。
- 初始化一个随机密钥,用于打乱 case 值以增加反混淆难度,存储到
ScramblingKey变量内。
- 获取函数第一个基本块指针,存储到
FirstBasicBlock变量内。
- 遍历函数内所有基本块存放到名为
OrigBb的列表(vector)内。
- 获取所有基本块列表后:
- 移除第一个基本块(通常为主入口),后面会重新安排流程
- 如果第一个基本块以条件分支结束,则拆分它以便插入控制流结构
- 这一步如果出现这几种情况,会直接退出控制流平坦化:
- 如果存在 invoke 指令则放弃混淆
- 如果只有一个基本块,无需平坦化
- 删除 第一个基本块 的最后一条指令,为插入新的控制流结构做准备。
- 在 第一个基本块 最后插入新的 switch 控制变量,名为**
%switchVar**。
- 在 第一个基本块 最后插入 store 命令,将加密后的值存储到**
%switchVar**。加密秘钥是ScramblingKey,下面所有加密秘钥都是它。
- 创建
loopEntry和loopEnd基本块。在当前步骤后,loopEnd 会添加跳转到 loopEntry 的语句,形成循环。
- 在loopEntry的最后插入load命令,load被switch命令用到的条件变量**
%switchVar**,插入前基本块是空的。例如:%switchVar14 = load i64, ptr %switchVar, align 8
switchDefault基本块:
- 创建 switchDefault 基本块,它是默认 case 块所跳转的地方,它插入到
loopEnd之后。
- switchDefault 最后插入跳转到 loopEnd 的指令,例如:
br label %loopEnd。
初始化一个随机密钥,用于打乱 case 值以增加反混淆难度,存储到ScramblingKey变量内。
传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 6天前
被不歪编辑
,原因:
