符号混淆（LTO）

qytat · 2021 年11 月 17 日 07:37

自己觉得有一点成果了，发上来分享一下，大佬们点个赞或者提点意见！感谢QAQ！

主要思路如下：
1、编译阶段处理存在硬伤，所以确定方案在链接时处理；
2、链接时的module是被链接成的一个大的module；
3、pass不再注册在PassManagerBuilder，而是集成进库 libLTO.dylib 里
4、链接参数需要指定链接库
-lto_library /xxx/LLVM/llvm-project-llvmorg-13.0.0/build_xcode/Debug/lib/libLTO.dylib"
5、最后编译链接成的二进制符号被混淆。

详细文章发在我的简书博客：LLVM 进阶一：符号混淆（LTO） - 简书

Zhang · 2021 年11 月 17 日 08:47

但利用LTO去做CrossTU的一个问题是没记错的话静态库的时候不会走这条路径

qytat · 2021 年11 月 17 日 09:00

我再去研究下静态库咋弄

Zhang · 2021 年11 月 17 日 09:07

而且这个方法我怀疑linkonce 和COMDAT的情况下可能有问题。
总的来说, CrossTU去混淆绝大多数时候都是个坏主意

qytat · 2021 年11 月 17 日 09:26

我以为发现了新大陆，原来还是有坑。。。

qytat · 2021 年11 月 17 日 09:53

我刚去测试了，只需要在静态库的target编译参数加上 -flto 就行，因为 -flto 参数会让clang编译生成bitcode，而不是目标文件

Zhang · 2021 年11 月 17 日 09:59

我记得我写那篇博客的时候不是这种行为，行吧

按你胃，还是那句话，实际业务中其实意义不大

qytat · 2021 年11 月 17 日 10:14

要得

111110 · 2021 年11 月 19 日 09:17

你这思路我三四年前就用了。

qytat · 2021 年11 月 19 日 09:29

i’m out

nu11 · 2021 年11 月 19 日 13:27

先赞后看

111110 · 2021 年11 月 19 日 16:34

github.com

snowhax/tsuki/blob/master/LTOMorphling.cpp

//===- GlobalOpt.cpp - Optimize Global Variables --------------------------===//
//
//                     The LLVM Compiler Infrastructure
//
// This file is distributed under the University of Illinois Open Source
// License. See LICENSE.TXT for details.
//
//===----------------------------------------------------------------------===//
//
// This pass transforms simple global variables that never have their address
// taken.  If obviously true, it marks read/write globals as constant, deletes
// variables only stored to, etc.
//
//===----------------------------------------------------------------------===//

#include "llvm/Transforms/IPO.h"
#include "llvm/IR/Module.h"
#include "llvm/IR/IRBuilder.h"
#include "llvm/IR/Instructions.h"
#include "llvm/IR/IntrinsicInst.h"

This file has been truncated. show original

编译时期的pass创建的init函数在链接后会很多。在链接时期的pass里的创建一个解密函数，比较干净。

samlee1 · 2021 年12 月 22 日 00:32

这个不是也能混淆吗为什么说在实际业务中其实意义不大，打的包不能上架？

qytat · 2021 年12 月 22 日 06:22

我觉得应该是实际的release模式会strip掉符号，可能实际上混淆导出符号有用处

samlee1 · 2021 年12 月 23 日 00:25

release模式不会strip掉符号，不然没法上架

Zhang · 2021 年12 月 24 日 09:09

因为攻击者就算没有符号也能逆向?