[原创]libsgmain反混淆及VM还原-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com

[原创]libsgmain反混淆及VM还原

2021-5-23 16:39 41948

[原创]libsgmain反混淆及VM还原

krash

活跃值

4

2021-5-23 16:39

41948

查看主题内容

收藏・88

点赞・30

打赏

分享

打赏 + 200.00雪花

打赏次数 1

雪花 + 200.00

+200.00

2021/05/23

精品文章～

最新回复 (42) ◀ 1 2
gtict 雪币： 1163 活跃值： (874) 能力值： ( LV3，RANK：30 ) 在线值：发帖 23 回帖 473 粉丝 2 关注私信	gtict 2021-5-24 19:55 26 楼 0 大神的trace工具是基于啥写出来的
挤蹭菌衣雪币： 5209 活跃值： (2925) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 115 粉丝 99 关注私信	挤蹭菌衣 1 2021-5-24 21:52 27 楼 0 krash 自制的。土豪用的是哪个？厉害我穷人只能用ida大佬有什么推荐吗
大帅锅雪币： 14382 活跃值： (3564) 能力值： ( LV13，RANK：835 ) 在线值：发帖 35 回帖 160 粉丝 33 关注私信	大帅锅 4 2021-5-25 10:40 28 楼 0 只想知道，trace是如何保证每个真实块能覆盖到的
bitt 雪币： 385 活跃值： (381) 能力值： ( LV13，RANK：377 ) 在线值：发帖 28 回帖 639 粉丝 11 关注私信	bitt 5 2021-5-26 11:06 29 楼 0 牛啊
327135569 雪币： 262 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	327135569 2021-5-28 13:48 30 楼 0 强, 很强. 如果 ida 有 IR 层分析的深度支持就好了..
lhxdiao 雪币： 2071 活跃值： (3509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 173 粉丝 85 关注私信	lhxdiao 2021-5-30 08:54 31 楼 0 太牛了，我这种懒人都是取巧用编译器优化，直接把无用片段压缩删除掉，编译器优化出来的东西跟没有混淆之前一样
wx_0xC05StackOver 雪币： 221 活跃值： (951) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 8 关注私信	wx_0xC05StackOver 2021-5-31 14:40 32 楼 0 其实是受限于体积和性能，我们没有对vmhandle做混淆处理，和litevm的开发沟通了下，对方表示vmprotect强其实也是强在对于vm做了混淆如果这里上混淆的话效果要好不少，但是体积和性能又不允许，这是个折衷的方案。顺便litevm的开发表示最新版本已经在酝酿中了23333
suuuuu 雪币： 175 活跃值： (3552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 256 粉丝 6 关注私信	suuuuu 2021-5-31 16:55 33 楼 0 着实nb
krash 雪币： 3936 活跃值： (3767) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 158 关注私信	krash 4 2021-5-31 19:58 34 楼 0 wx_0xC05StackOver 其实是受限于体积和性能，我们没有对vmhandle做混淆处理，和litevm的开发沟通了下，对方表示vmprotect强其实也是强在对于vm做了混淆如果这里上混淆的话效果要好不少，但是体积和性能又不允 ... 我没还原过PC的VMP，不知道VMP的handler是如何混淆的，我人个无责任猜测VMP强很可能不是因为混淆了handler。之前还原@爱吃菠菜的安卓VmpCrackMe一枚，一个类似VMP VM Crackme，还原它有下面两个难点，我觉得可能会比混淆handler难处理： VM基于栈的虚拟机，还原它的第一步就需要把栈虚拟机转换成寄存器机。还原完整CFG。这个VM跳转目标是动态计算的，在需要进行条件跳转时，VM Crackme会在栈上动态构建一个跳转表，根据条件码(nzcv)计算跳转case。还有恢复跳转条件对应的跳转目标。
Rprop 雪币： 636 活跃值： (289) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 820 粉丝 11 关注私信	Rprop 2021-7-7 21:34 35 楼 0 krash 不是，自己的，unicorn比较难改host的内存吧。 unicorn可直接映射host memory，其实是qemu的能力
krash 雪币： 3936 活跃值： (3767) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 158 关注私信	krash 4 2021-7-8 20:21 36 楼 0 Rprop unicorn可直接映射host memory，其实是qemu的能力可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？
Rprop 雪币： 636 活跃值： (289) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 820 粉丝 11 关注私信	Rprop 2021-7-8 22:08 37 楼 0 krash 可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？是的，就是这个意思，之前实现了一套，挺方便的
Rprop 雪币： 636 活跃值： (289) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 820 粉丝 11 关注私信	Rprop 2021-7-8 22:14 38 楼 0 krash 可能我们理解的不太一样。我需要的是直接使用Host的内存，指令对内存的修改对Host可见，类似这位大佬的unicornVM，这个很好实现？不过我是用unicorn的cpp接口做的，其它语言估计会麻烦点，只是unicorn的qemu滞后太多，估计unicorn2性能会优点，不过用来trace足够用了
krash 雪币： 3936 活跃值： (3767) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 158 关注私信	krash 4 2021-7-8 22:46 39 楼 0 Rprop 不过我是用unicorn的cpp接口做的，其它语言估计会麻烦点，只是unicorn的qemu滞后太多，估计unicorn2性能会优点，不过用来trace足够用了了解。等后面我搞x86的时候再研究下。
Rprop 雪币： 636 活跃值： (289) 能力值： ( LV3，RANK：20 ) 在线值：发帖 38 回帖 820 粉丝 11 关注私信	Rprop 2021-7-8 23:18 40 楼 0 krash 了解。等后面我搞x86的时候再研究下。 x86?现在这套trace是用类似ptrace在设备上运行的? 另外大佬的goron还维护吗
krash 雪币： 3936 活跃值： (3767) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 61 粉丝 158 关注私信	krash 4 2021-7-8 23:50 41 楼 0 Rprop x86?现在这套trace是用类似ptrace在设备上运行的? 另外大佬的goron还维护吗现在这套只支持arm64，以前还支持arm32。arm32指令集太复杂，坑太多，后面重构的时候直接不考虑了。没有用ptrace，改的rom。 goron没有在维护，主要是没有什么好想法。现在觉得有trace，搞些自动化分析trace的工具，啥混淆都能分析。
万里星河雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 267 粉丝 0 关注私信	万里星河 2021-7-12 20:13 42 楼 0 太牛逼了
martinkro 雪币： 281 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 0 关注私信	martinkro 2021-11-26 02:01 43 楼 0 有类似开源码的Trace工具吗？能否说下实现原理
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

krash

活跃值

发帖

回帖

RANK

关注

他的文章

[原创]使用时间无关调试技术(Timeless Debugging)高效分析混淆代码

[原创]基于函数虚拟机trace的开源实现（poc，半成品）

[原创]libsgmain反混淆及VM还原

[原创]阿里2015第二届安全挑战赛第三题题解

[原创]使用Binary Ninja去除ollvm流程平坦混淆

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区