就想是上面这样
被混淆的函数里面的块之间都是通过一个跳转表来实现跳转的
看样子应该是ollvm修改版,
又遇到类似混淆的,能说一下反混淆的思路吗
目前是使用Unicorn来模拟执行,但是问题太多了,也不能保证覆盖完整
就想是上面这样
被混淆的函数里面的块之间都是通过一个跳转表来实现跳转的
看样子应该是ollvm修改版,
又遇到类似混淆的,能说一下反混淆的思路吗
目前是使用Unicorn来模拟执行,但是问题太多了,也不能保证覆盖完整
这不是光么
这个密码在CSET上,然后add sub 之类的运算得到要跳转的BasicBlock地址,实现流程逻辑打散效果
群里有个老哥好像研究了一套基于unicorn+静态分析解这玩意的工具,可以问问
谢谢两位大佬