遇到一个被混淆的的dylib


#1

就想是上面这样
被混淆的函数里面的块之间都是通过一个跳转表来实现跳转的
看样子应该是ollvm修改版,
又遇到类似混淆的,能说一下反混淆的思路吗

目前是使用Unicorn来模拟执行,但是问题太多了,也不能保证覆盖完整


#2

这不是光么


#3

这个不是,这个好像是自己修改的,但是混淆的方式应该没有太大的区别
但是我后来又遇到一个就肯定是了


#4

这个密码在CSET上,然后add sub 之类的运算得到要跳转的BasicBlock地址,实现流程逻辑打散效果


#6

群里有个老哥好像研究了一套基于unicorn+静态分析解这玩意的工具,可以问问


#7

谢谢两位大佬