遇到一个被混淆的的dylib

General · 2019 年1 月 10 日 03:34

就想是上面这样
被混淆的函数里面的块之间都是通过一个跳转表来实现跳转的
看样子应该是ollvm修改版,
又遇到类似混淆的,能说一下反混淆的思路吗

目前是使用Unicorn来模拟执行,但是问题太多了,也不能保证覆盖完整

Zhang · 2019 年1 月 10 日 08:42

这不是光么

General · 2019 年1 月 11 日 01:45

这个不是,这个好像是自己修改的,但是混淆的方式应该没有太大的区别
但是我后来又遇到一个就肯定是了

Young · 2019 年1 月 11 日 07:48

这个密码在CSET上，然后add sub 之类的运算得到要跳转的BasicBlock地址，实现流程逻辑打散效果

Zhang · 2019 年1 月 11 日 08:12

群里有个老哥好像研究了一套基于unicorn+静态分析解这玩意的工具，可以问问

General · 2019 年1 月 12 日 05:25

谢谢两位大佬