夏洛魂的个人博客

移植OLLVM到NDK中

夏洛魂发布于 2023-05-14 收录于 LLVM 和 LLVM

将OLLVM移植到LLVM源码中
LLVM源码编译
NDK下载

https://developer.android.google.cn/ndk/downloads?hl=zh-cn

这里需要注意一点的是下载的NDK版本要和上述移植的LLVM源码版本相近.

在NDK中也有clang编译器,可以查看下版本,看看是基于LLVM哪个版本进行编译的.

.NET程序hook的另一种优雅实现-C++/CLI

夏洛魂发布于 2023-05-08 收录于 Win相关和 Win逆向

概述

在正式开始之前,我们需要先了解以下几个概念:

OLLVM研究之BCF

夏洛魂发布于 2023-04-19 收录于 LLVM 和 LLVM

概述

BCF即虚假控制流,将原程序基本块进行拆分和克隆,利用不透明谓词将克隆的基本块作为不可达分支用来混淆静态代码,达到迷惑攻击者的目的.

OLLVM研究之FLA

夏洛魂发布于 2023-04-17 收录于 LLVM 和 LLVM

概述

FLA即控制流平坦化,首先将原程序中switch结构转换成链式的平坦结构,然后创建loopEntry和loopEnd两个基本块来分发调度除第一个基本块外的所有原始基本块.

OLLVM调试

夏洛魂发布于 2023-04-13 收录于 LLVM 和 LLVM

调试流程

准备一份测试代码.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


//luoTst.c
#include <stdlib.h>
#include <stdio.h>
//int fun1(int a, int b) __attribute((__annotate__(("fla"))));
//int fun2(int a, int b) __attribute((__annotate__(("nofla"))));
//int main(int argc, char** argv) __attribute((__annotate__(("bcf"))));

int fun1(int a, int b){
  if(a + b > 10){
    return 10;
  }else{
    return 100;
  }
}

int fun2(int a, int b){
   if(a - b > 10){
    return 5;
  }else{
    return 50;
  }
}

int main(int argc, char** argv) {
  if(argc > 2){
    printf("hello world\n");
  }else{
    printf("hello ollvm\n");
  }
  printf("fun1:%d\n", fun1(argc, 6));
  printf("fun2:%d\n", fun2(argc, 8));
  return 0;
}

移植ollvm到单独的so.

luoOllvm.7z

OLLVM移植和使用

夏洛魂发布于 2023-03-21 收录于 LLVM 和 LLVM

ollvm是一个基于llvm的开源项目,利用llvm会生成IR中间代码并通过pass进行优化的特点,通过增加Pass来对代码进行优化.但这种优化是为了让代码更加复杂,达到混淆的目的.主要有以下3种混淆手段: