2. 程式人生 > >為OLLVM新增字串混淆功能

為OLLVM新增字串混淆功能

阿新 發佈:2019-01-29

本文簡單介紹了下使用上海交大GoSSIP小組開源的“孤挺花”混淆框架來給OLLVM加上字串混淆的功能。

0x01 OLLVM 4.0

OLLVM(Obfuscator-LLVM)是瑞士西北應用科技大學安全實驗室於2010年6月份發起的一個針對LLVM程式碼混淆專案,主要作用是增加逆向難度,從而一定程度上保護程式碼的安全。因為後期轉向了商業專案strong.protect,所以專案的進度一度停滯,而在17年3月,LLVM已經更新到了4.0版本,新版本的一些特性導致老版本的OLLVM存在一定的侷限性。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

幾天前,上海交大密碼與電腦保安實驗室GoSSIP小組開源了他們設計的基於LLVM 4.0的孤挺花混淆框架

,功能包含字串加密,控制流扁平化和指令替換。出於穩定性考慮,目前開源的程式碼僅包括對編譯原始碼中的常量字串加密一項基本功能(相關簡介)。給上海交大的同學點贊 : )

YSRC簡單的做了下分析,發現該功能主要是實現了一個用於字串加密的pass,具體什麼是pass,可以參考如下文章( ,),本文主要介紹將孤挺花的字串加密pass整合到OLLVM 4.0中。(官方分支暫時還未支援Constants encryption)

0x02 pass整合

字串加密的pass位於如下目錄

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

提取出該檔案,放到OLLVM相同目錄下,並將標頭檔案也複製到對應目錄下

在Obfuscation下的cmakelists.txt將StringObfuscation.cpp新增到編譯庫中,最後只需要在Transforms/IPO下的PassManagerBuilder.cpp將字串加密的編譯選項新增進去即可

1. 新增#include “llvm/Transforms/Obfuscation/StringObfuscation.h”引用

2. 在合適的地方插入以下兩條函式宣告,即編譯時的編譯引數-mllvm -sobf: 

3. 在PassManagerBuilder::PassManagerBuilder()建構函式中新增隨機數因子的初始化

static cl::opt<std::string> Seed("seed", cl::init(""), cl::desc("seed for the random")); static cl::opt<bool> StringObf("sobf"
 
, cl::init(false), cl::desc("Enable the string obfuscation"));

4. 最後將該pass新增進void PassManagerBuilder::populateModulePassManager中即可

0x03 Windows下編譯OLLVM

這裡編譯環境選擇的是windows,其它平臺類似 

編譯器:

MinGW64 for Windows

Cmake 3.9 rc5 for Windows x64

這裡注意下套件都是選擇的64位版本的,並且要注意最好清除下系統變數中之前配置的變數。

官方編譯命令:

mkdir build

cd build

cmake -DCMAKE_BUILD_TYPE=Release ../obfuscator/

make -j7

如果cmake如果不指定引數的話,會預設去選擇當前電腦裡已有的編譯器,如果安裝了vs的話,會自動去查詢vs的編譯器

如果打算使用vs編譯 

cmake -DCMAKE_BUILD_TYPE=Release ../obfuscator/ 

會生成32位的依賴版本 

cmake -G “Visual Studio 15 2017 Win64” -DCMAKE_BUILD_TYPE=Release ../obfuscator/ 

上面這種方法就會生成64位版本的編譯環境,不過在測試編譯時,32位正常編譯通過,64位踩了很多坑,所以還是不建議使用vs編譯。

使用MinGw編譯時,需要加上引數 

cmake -G “MinGW Makefiles” -DCMAKE_BUILD_TYPE=Release ../obfuscator/ 

最後再執行make -j7 即可,數字可根據電腦配置進行選擇,編譯完成後,會在build/bin下看到編譯完成的二進位制檔案。

0x04 NDK使用OLLVM

將編譯好的clang.exe , clang++.exe 以及上級目錄下 lib/clang下的資料夾拷貝出來,我這裡使用的是ndk 13,直接將這些檔案拷貝到toolchainsllvmprebuiltwindows-x86_64,其中exe檔案複製到bin目錄下,lib資料夾直接複製到windows-x86_64目錄下即可。

新建一個Android Studio工程測試下效果,開啟字串加密編譯選項

編寫測試函式

在函式前添加了fla屬性,該屬性代表ollvm的Control Flow Flattening ,具體可見ollvm專案的wiki,編譯執行檢視結果。

使用IDA開啟編譯後的so檔案,可以看到函式中的字串已經不顯示了,

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

而Test函式的流程也被進行了混淆。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

F5後:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

0x05 總結

在專案中合理的使用ollvm可以幫助增加逆向難度,並且針對關鍵的函式混淆對效能的影響也比較小。

相關推薦

OLLVM新增字串混淆功能

本文簡單介紹了下使用上海交大GoSSIP小組開源的“孤挺花”混淆框架來給OLLVM加上字串混淆的功能。 0x01 OLLVM 4.0 OLLVM(Obfuscator-LLVM)是瑞士西北應用科技大學安全實驗室於2010年6月份發起的一個針對LL

RecyclerView新增load more功能

思路 實現LoadMore功能主要是從Adapter入手,通過在onAttachedToRecyclerView方法裡給RecyclerView新增滑動監聽來實現。一種思路是實現一個LoadMoreAdapter基類讓其他的Adapter繼承來獲得load mo

鬱金香驅動學習>第二課:驅動新增解除安裝功能

//通過這個buildchk_w2K_x86.log檔案可以查看出錯資訊 //為驅動新增解除安裝功能 #include <ntddk.h> //定義個INITCODE巨集,這個巨集表示 初始化的時候載入記憶體,然後可以從記憶體中解除安裝掉 #define INITCODE code_

webapi 利用 ActionFilter ASP.NET Web API 新增 GZip 壓縮功能

webapi 利用 ActionFilter 為 ASP.NET Web API 新增 GZip 壓縮功能 先直接上程式碼 /// <summary> /// 對結果進行壓縮處理 /// </summary> public class De

劍指offer-將一個字串轉換成一個整數(實現Integer.valueOf(string)的功能,但是string不符合數字要求時返回0),要求不能使用字串轉換整數的庫函式。 數值0或者字串

class Solution { public: int StrToInt(string str) { int sum = 0; int data; if(str.empty()) return 0; i

我們的 Vue SSR程式新增熱更新功能

前沿 通過上一篇文章 通過vue-cli3構建一個SSR應用程式 我們知道了什麼是SSR,以及如何通過vue-cli3構建一個SSR應用程式。但是最後遺留了一些問題沒有處理,就是沒有新增開發時的熱更新功能,難道要每次更新程式碼都要重新編譯打包嗎?顯然不是很合理。那接下來我們將為該SSR程式新增熱更新的功能。

【裝飾器】詳解Python的裝飾器--已經存在的函式或物件新增額外的功能

寫的非常好的文章,原文在:http://www.cnblogs.com/cicaday/p/python-decorator.html Python中的裝飾器是你進入Python大門的一道坎,不管你跨不跨過去它都在那裡。 為什麼需要裝飾器 我們假設你的程式實現了say_hello()和s

我們的SSR程式新增熱更新功能

前沿 通過上一篇文章 通過vue-cli3構建一個SSR應用程式 我們知道了什麼是SSR,以及如何通過vue-cli3構建一個SSR應用程式。但是最後遺留了一些問題沒有處理,就是沒有新增開發時的熱更新功能,難道要每次更新程式碼都要重新編譯打包嗎?顯然不是很合理。那接下來我們將為該SSR程式新增熱更新的功能。

laravel網站新增支付功能流程(支付寶)

為網站新增支付功能,本部落格以新增支付寶介面為例。 一、建立應用 進入螞蟻金服開放平臺->開發者中心->網頁&移動應用 按需求選擇建立應用 選擇應用功能 然後提交稽核,大部分功能需要簽約後才能使用。等稽核正式通過,該應用就可以正式投入使用。 二、

接入gitmenthexo新增評論功能

title: 接入gitment為hexo新增評論功能 toc: false date: 2018-04-16 10:59:56 categories: methods tags: hexo gitment 註冊一個OAuth application 註冊連結

Web網站新增IP過濾功能實踐總結(C#)

         這項任務是從米老師(米新江的部落格)那裡接手的。目的是給考試系統加上限制,在區域網內,防止同學從考試以外的地點登入。          過濾IP聽起來比較容易,最終的效果就是驗證一下IP,再決定是否有許可權訪問考試系統。但是要做的好就不那麼容易了。接下來總

百度文字編輯器UEditor新增附件管理功能

最近朋友的一個專案需要一個文字編輯器,讓我突然想起那個百度編輯器UEditor,功能比較齊全而且開源,但也有很多bug和不足。 一年前我就曾經關注過,讓我感到最不能容忍的不足就是,新增的附件的地方,如果檔案和伺服器端重名這樣的錯誤如果能夠容忍,但如果上傳錯了,我想刪除

KindEditor 新增“一鍵去除空格功能

環境說明:KindEditor  4.1.11 一、確定你在使用KindEditor時,引用的是kindEditor-all.js,找到任何一個已經存在的功能,例如,清除HTML程式碼,我在做的時候本來是想將這個功能加在清除HTML程式碼這一功能中,後又覺得不妥,就在清除HTML程式碼下

DataGridView 新增複選框,實現全選功能

1、指定DataGridView的第一列為DataGridViewCheckBoxColumn 2、為第一列的標題欄新增一個CheckBox,假設為HeaderCheckBox同時為HeaderCheckBox定義好 MouseClick 和 KeyUp 事件priva

SpringAOP:目標類新增新的功能(拓展介面)

比如,原來的手機只能打電話,發簡訊。 現在,手機可以做為pad(掌上電腦),可以上網,看電影,打遊戲。 但是,我不想去繼承實現,我就要用AOP。 這次Aspect可就不同了 首先出場,基礎類

安卓應用新增手勢密碼功能,遇到的一些問題以及解決方法

公司的APP有個需求為他新增類似於支付寶的手勢密碼驗證功能效果圖如下 首先我們要分析三個問題: 1.手勢密碼的作用是什麼? 2.在什麼時候啟動? 3.啟動之後幹什麼? 1.手勢密碼的作用是什麼? 這裡很容易解答,為了APP二次啟動進入進行驗證

eclipseSSH框架.xml檔案新增自動提示功能

.xsd .dtd檔案要從jar包檔案中解壓獲取 一、spring 用eclipse,在匯入相應的包後(有人說不導包也有提示,因為預設的eclipse匯入了jdk的包),eclipse會有程式碼提示功能。那麼XML檔案能不能也這樣呢?其實也是可以的,只不過導包的地方不

PhpStorm新增Laravel 程式碼智慧提示功能

PhpStorm 預設情況下是沒有對Laravel框架的程式碼提示功能的,下面給出Laravel 5 在PhpStorm 2017.1版本下的安裝過程。 1.安裝laravel外掛 2. 應用 composer 安裝 barryvdh/laravel-ide-hel

開源高效的直播源碼,您解析直播系統功能

直播程序研發 隨著直播行業的迅猛發展,直播平臺如同雨後春筍般生長起來。做的人多了,自然就會有人有疑問,直播系統怎麽開發呢?小編來帶您深入了解直播平臺,並為您解答! 現在使用最多的直播平臺算是手機直播APP了!那麽直播系統怎麽開發?我們先來看下APP的功能。1.視頻直播功能,這是一款直播App最主要的功能

Spring-AOP類增加新的功能

-a ring mat ctx implement 另一個 double tar targe 適配器的簡單應用實現:   比如:有一個類Car,在類中有兩個屬性一個為汽車名name,另一個為速度speed。其行為為run()。      現在有一輛車BMWCar 增加了GP