[原创]记使用Trace还原ollvm混淆的函数 #30天写作挑战#-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]记使用Trace还原ollvm混淆的函数 #30天写作挑战#

发表于: 2020-9-1 20:02 29460

[原创]记使用Trace还原ollvm混淆的函数 #30天写作挑战#

neilwu

2020-9-1 20:02

29460

https://bbs.pediy.com/thread-260650.htm
https://bbs.pediy.com/thread-260655.htm

二位大佬的两种解题思路，膜拜膜拜

ollvm可以使用ida的trace功能辅助还原，看到样本上手尝试一下。
上面的帖子中有部分使用trace进行辅助还原，这篇帖子是通过trace后的汇编指令进行的ollvm还原过程，记录分享一下过程，不喜勿喷。

图片描述

调试器将为每条指令保存所有修改后的寄存器值。
eb5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Z5k6i4S2Q4x3X3c8J5j5i4W2K6i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6s2g2U0N6s2y4Q4x3V1k6A6k6r3q4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3c8S2k6r3!0U0i4K6u0r3x3e0b7@1y4W2)9J5k6i4y4Z5N6r3#2D9

调试器将保存到达临时基本块断点的所有地址。
987K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Z5k6i4S2Q4x3X3c8J5j5i4W2K6i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6s2g2U0N6s2y4Q4x3V1k6A6k6r3q4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3c8S2k6r3!0U0i4K6u0r3x3e0j5J5z5q4)9J5k6i4y4Z5N6r3#2D9

调试器将保存发生函数调用或函数返回的所有地址。
eb1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Z5k6i4S2Q4x3X3c8J5j5i4W2K6i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6s2g2U0N6s2y4Q4x3V1k6A6k6r3q4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3c8S2k6r3!0U0i4K6u0r3x3e0b7@1y4#2)9J5k6i4y4Z5N6r3#2D9

图片描述

定位过程可以参考上面2个帖子

结果显示：
图片描述

参数：

结果：

图片描述

trace后的cfg，变黄色就是执行的汇编指令被trace过

图片描述

sub_13CE4中调用了sub_13808和sub_172D0

参数1 pediy_imyang_lXcaTALmow
图片描述
对应trace文件

以 0x0000000000000070看一下具体处理

参数1 中的 0x70 -> 0x51，是通过如下进行的查询0x70的位置是0x51

最终结果为

参数1
图片描述
加密后

参数3 525K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6t1$3j5h3#2H3i4K6y4n7K9$3q4F1P5s2g2W2
图片描述

图片描述
trace文件中参数3只用了16个字符进行后续的处理
这里的处理和参数1处理的方式相同

图片描述

参数3
图片描述
加密后

使用参数1加密后的字节和参数3加密后的字节进行计算加密生成结果

图片描述

拼接结果
A4B8B6C8 9EB47F4F 29B44D47 C7382F85
和结果对比

797903090001 a4b8b6c8 9eb47f4f 29b44d47 c7382f85 1ad57618 f9b820c5 d55298cb 5f941c8c

根据以上的分析可以得到算法如下：
参数1加密后字节

参数3加密字节

以图一为例，计算如下：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2020-9-2 09:43 被neilwu编辑，原因：

上传的附件：

neil_trace_0831_01.txt （482.04kb，46次下载）

收藏・72

免费・20

支持

赞赏记录

参与人

雪币

留言

时间

JSnow

你的帖子非常有用，感谢分享！

2025-5-10 10:40

飘零丶

为你点赞！

2025-3-16 06:57

达哥昏迷

为你点赞~

2023-3-14 14:29

PLEBFE

为你点赞~

2022-7-30 12:09

SilentG

为你点赞~

2020-9-17 19:20

修仙大能

为你点赞~

2020-9-15 10:27

Kepler_test

为你点赞~

2020-9-15 10:24

linden

为你点赞~

2020-9-15 10:23

number_Z

为你点赞~

2020-9-15 10:22

Sou1gh0st

为你点赞~

2020-9-14 20:29

Zard_

为你点赞~

2020-9-8 16:45

风中小筑V

为你点赞~

2020-9-4 21:20

山竹笠

为你点赞~

2020-9-4 10:37

流星暴雨

为你点赞~

2020-9-4 01:26

xjklewh

为你点赞~

2020-9-3 18:28

0x指纹

为你点赞~

2020-9-2 23:32

saliey

为你点赞~

2020-9-2 16:42

Editor

为你点赞~

2020-9-2 12:30

lanoche

为你点赞~

2020-9-2 09:06

neilwu

为你点赞~

2020-9-1 21:39

打赏 + 1.00雪花

Editor

打赏次数 1

雪花 + 1.00

Editor

+1.00

2020/09/02

精品文章～

最新回复 (19)
number_Z 雪币： 2244 活跃值： (1947) 能力值： ( LV7，RANK：100 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	number_Z 2 2 楼 tql 2020-9-2 11:30 0
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 3 楼 tql！感谢分享！ 2020-9-2 12:30 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 4 楼 Editor tql！感谢分享！感谢看雪 2020-9-2 12:46 0
LowRebSwrd 雪币： 6573 活跃值： (3983) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 189 粉丝 161 关注私信	LowRebSwrd 4 5 楼感谢分享！ 2020-9-2 13:51 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 6 楼 LowRebSwrd 感谢分享！ 2020-9-2 17:38 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 7 楼 number_Z tql[em_91] 2020-9-2 17:39 0
lookzo 雪币： 6 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 534 粉丝 2 关注私信	lookzo 8 楼有时间再研究哈，多谢楼主分享 2020-9-3 08:15 0
cnzzh 雪币： 3372 活跃值： (867) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 32 粉丝 11 关注私信	cnzzh 9 楼感谢分享 2020-9-3 16:33 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 10 楼学到了.. 2020-9-4 21:21 0
Mars. 雪币： 158 活跃值： (755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 5 关注私信	Mars. 11 楼 66666学以致用 2020-9-5 14:21 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 12 楼 666 2020-9-5 17:46 0
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 13 楼欢迎更多的小伙伴参与到 #30天写作挑战#中来！活动详情：https://bbs.pediy.com/thread-261705.htm 2020-9-7 16:53 0
疯子Tear 雪币： 3212 活跃值： (1113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	疯子Tear 14 楼 tql 2020-9-8 06:06 0
Zard_ 雪币： 513 活跃值： (2279) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 78 粉丝 6 关注私信	Zard_ 15 楼这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？ 2020-9-8 16:45 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 16 楼 Zard_ 这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？[em_71] 求样本 2020-9-8 17:27 0
Zard_ 雪币： 513 活跃值： (2279) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 78 粉丝 6 关注私信	Zard_ 17 楼 ddctf.zip 链接: 971K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4N6e0x3^5j5$3y4j5L8f1I4f1k6V1c8Y4j5X3c8D9k6e0g2@1b7U0S2$3k6#2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1#2i4@1q4r3i4K6R3$3i4@1f1%4i4@1p5H3i4K6R3I4i4K6y4m8i4K6t1$3L8X3u0K6M7q4)9K6b7X3x3#2k6o6m8Q4x3U0k6F1j5Y4y4H3i4K6y4n7 三道题好像有两道都用了ollvm混淆 2020-9-8 19:14 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 18 楼 Zard_ ddctf.zip 链接: 4ffK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4N6e0x3^5j5$3y4j5L8f1I4f1k6V1c8Y4j5X3c8D9k6e0g2@1b7U0S2$3k6H3`.`. 密码: c5d0 [em_71] 三道题好像有两道都用了ollvm ... 谢谢你 2020-9-8 21:34 0
长野飘荡雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	长野飘荡 19 楼你好请问trace时，类似 F42D1E08: got SIGSEGV signal (Segmentation violation) (exc.code b, tid 19422) 这样的报错是什么原因啊，用的是ida7.0 2022-2-18 12:39 0
万里星河雪币： 156 活跃值： (1352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 4 关注私信	万里星河 20 楼支持一下 2023-3-14 13:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

neilwu

发帖

169

回帖

219

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
number_Z 雪币： 2244 活跃值： (1947) 能力值： ( LV7，RANK：100 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	number_Z 2 2 楼 tql 2020-9-2 11:30 0
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 3 楼 tql！感谢分享！ 2020-9-2 12:30 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 4 楼 Editor tql！感谢分享！感谢看雪 2020-9-2 12:46 0
LowRebSwrd 雪币： 6573 活跃值： (3983) 能力值： (RANK：200 ) 在线值：发帖 15 回帖 189 粉丝 161 关注私信	LowRebSwrd 4 5 楼感谢分享！ 2020-9-2 13:51 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 6 楼 LowRebSwrd 感谢分享！ 2020-9-2 17:38 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 7 楼 number_Z tql[em_91] 2020-9-2 17:39 0
lookzo 雪币： 6 活跃值： (1488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 534 粉丝 2 关注私信	lookzo 8 楼有时间再研究哈，多谢楼主分享 2020-9-3 08:15 0
cnzzh 雪币： 3372 活跃值： (867) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 32 粉丝 11 关注私信	cnzzh 9 楼感谢分享 2020-9-3 16:33 0
风中小筑V 雪币： 1378 活跃值： (3067) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 2 关注私信	风中小筑V 10 楼学到了.. 2020-9-4 21:21 0
Mars. 雪币： 158 活跃值： (755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 5 关注私信	Mars. 11 楼 66666学以致用 2020-9-5 14:21 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 12 楼 666 2020-9-5 17:46 0
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 13 楼欢迎更多的小伙伴参与到 #30天写作挑战#中来！活动详情：https://bbs.pediy.com/thread-261705.htm 2020-9-7 16:53 0
疯子Tear 雪币： 3212 活跃值： (1113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	疯子Tear 14 楼 tql 2020-9-8 06:06 0
Zard_ 雪币： 513 活跃值： (2279) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 78 粉丝 6 关注私信	Zard_ 15 楼这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？ 2020-9-8 16:45 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 16 楼 Zard_ 这特强了吧 ddctf2020 那道安卓用这个方法能去ollvm混淆吗？[em_71] 求样本 2020-9-8 17:27 0
Zard_ 雪币： 513 活跃值： (2279) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 78 粉丝 6 关注私信	Zard_ 17 楼 ddctf.zip 链接: 971K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4N6e0x3^5j5$3y4j5L8f1I4f1k6V1c8Y4j5X3c8D9k6e0g2@1b7U0S2$3k6#2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1#2i4@1q4r3i4K6R3$3i4@1f1%4i4@1p5H3i4K6R3I4i4K6y4m8i4K6t1$3L8X3u0K6M7q4)9K6b7X3x3#2k6o6m8Q4x3U0k6F1j5Y4y4H3i4K6y4n7 三道题好像有两道都用了ollvm混淆 2020-9-8 19:14 0
neilwu 雪币： 11591 活跃值： (8134) 能力值： ( LV12，RANK：219 ) 在线值：发帖 21 回帖 169 粉丝 105 关注私信	neilwu 1 18 楼 Zard_ ddctf.zip 链接: 4ffK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4N6e0x3^5j5$3y4j5L8f1I4f1k6V1c8Y4j5X3c8D9k6e0g2@1b7U0S2$3k6H3`.`. 密码: c5d0 [em_71] 三道题好像有两道都用了ollvm ... 谢谢你 2020-9-8 21:34 0
长野飘荡雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	长野飘荡 19 楼你好请问trace时，类似 F42D1E08: got SIGSEGV signal (Segmentation violation) (exc.code b, tid 19422) 这样的报错是什么原因啊，用的是ida7.0 2022-2-18 12:39 0
万里星河雪币： 156 活跃值： (1352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 4 关注私信	万里星河 20 楼支持一下 2023-3-14 13:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复