近來祸穷,ollvm在國內(nèi)移動(dòng)安全,尤其是安全加固上的使用越來越廣泛勺三,ollvm的混淆和反混淆也被視為比較高等的知識(shí)之一雷滚,讓很多人感到無從下手,望塵莫及吗坚。如果你在google上搜索ollvm祈远,你會(huì)發(fā)現(xiàn)第一頁都是中文的搜索結(jié)果。其實(shí)商源,llvm和ollvm在國外是比較傳統(tǒng)的東西车份,說到底也只是C++代碼牡彻,難度大概等同于ART系統(tǒng)源碼的程度。
本篇文章目地是為了從另一個(gè)從未出現(xiàn)的角度來讓一個(gè)完全不懂llvm的新手快速上手ollvm以政,大神請直接跳過。
注意:本文因角度不同技矮,若引起誤會(huì)衰倦,純屬個(gè)人理解不同樊零,本人不會(huì)作出任何解釋驻襟,請諒解芋哭。
- 快速理解llvm减牺、clang和ollvm的概念
我們不使用網(wǎng)上那些冗雜的闡述拔疚,一句話概括稚失,llvm是一個(gè)完整的編譯器架構(gòu)墩虹,作用可以理解為制作一個(gè)編譯器诫钓,llvm先將源碼生成為與目標(biāo)機(jī)器無關(guān)的LLVMIR代碼菌湃,然后把LLVMIR代碼先優(yōu)化,再向目標(biāo)機(jī)器的匯編語言而努力绪杏。經(jīng)典編譯器都可以分為前端蕾久、中層優(yōu)化和后端:
[圖片上傳失敗...(image-41e3a2-1523154756216)]
我們從上圖也理解了clang僧著,是前端的一個(gè)套件盹愚,但在實(shí)際使用時(shí)皆怕,你會(huì)感覺到愈腾,我們只可以感受到clang顶滩,也只是在使用clang礁鲁,因?yàn)榫幾g的時(shí)候仅醇,是調(diào)用clang或clang++來編譯源碼析二。Ollvm呢节预?是基于LLVM的代碼分支的代碼混淆蛤吓,對誰混淆会傲?什么時(shí)候混淆淌山?在中間表示IR層泼疑,通過編寫pass(英文翻譯:經(jīng)過王浴,自己理解氓辣,也不需要知道其正規(guī)的概念)來混淆IR钞啸,這樣目標(biāo)機(jī)器的匯編語言也就被混淆了:
[圖片上傳失敗...(image-e4c6f6-1523154756216)]
當(dāng)然,這里需要知道的是絮吵,即使不用ollvm蹬敲,LLVM本身也是有很多pass的伴嗡,我們這樣簡單的理解,LLVMIR本身是一種與目標(biāo)機(jī)器無關(guān)的虛擬化代碼阱扬,而在轉(zhuǎn)化為真實(shí)匯編代碼時(shí),肯定要?jiǎng)h除一些虛擬的東西用踩,自然也需要pass脐彩。這樣惠奸,我們就用不到200字的闡述完成了網(wǎng)上很多長篇大論才能達(dá)到的理解梗掰。
2及穗、llvm與ollvm在移動(dòng)加固的發(fā)展
在開始制作安卓vmp時(shí)埂陆,llvm其實(shí)是被我們暫時(shí)放棄的一個(gè)方案。因?yàn)閺膕mali上想可以使用llvm鹃栽,還必須先克服smali到底怎么成為C/C++,當(dāng)時(shí)他被提及摹察,很大原因是安卓系統(tǒng)后端使用了llvm,但其實(shí)ART下和llvm關(guān)系已經(jīng)不大了克滴。當(dāng)時(shí)都急于上架vmp,因此大部分都是采用折衷策略杂伟,如自定義dex結(jié)構(gòu)、置換指令等越平。隨著發(fā)展,smali2c漸漸成熟挣跋,可以smali2c了,自然ollvm是必然的一個(gè)選擇度气。但一個(gè)新的問題出現(xiàn)了适荣,就像很多加固網(wǎng)站,需要提供源碼丈氓,或編譯過程中的中間文件,說到底還是源碼加固。
所以想做二進(jìn)制加固的ollvm分支临扮,需要注意一下。想做到二進(jìn)制加固,沒有一個(gè)自己的反匯編解析引擎是不可能的关霸,目前用capstone比較多章姓。但要真正做自己的二進(jìn)制VMP加固,首先你得有一個(gè)反匯編引擎能把指令抽出來,同時(shí)轉(zhuǎn)為了自己的虛擬指令风宁,如果接上了llvm捺弦,最完美的方案就是把LLVMIR給虛擬為自己的虛擬指令,這個(gè)難度相當(dāng)于把.netframwork的IL指令給虛擬了∧停可以先逃避了這兩個(gè)問題,ARM指令得到后餐弱,利用簡單的函數(shù)式指令解析來完成這個(gè)虛擬過程宴霸。我們認(rèn)為,如果只有LLVMIR膏蚓,如ollvm瓢谢,是沒有虛擬的,只是混淆驮瞧。
3氓扛、利用beyondcompare+****sourceinsight4****的ollvm快速上手
Ollvm如果你去網(wǎng)上搜索資料學(xué)習(xí),大概是這么幾種文章:“LLVM編譯器架構(gòu)王者-編寫簡單的C虛擬編譯器”论笔、“ollvm+ndk編譯環(huán)境的搭建”采郎、“從0開始學(xué)習(xí)LLVM”、“LLVM PASS的完整編寫”狂魔,當(dāng)然這些文章都很不錯(cuò)蒜埋。但對于一個(gè)新手來說,看了和沒看其實(shí)區(qū)別不大毅臊。因?yàn)槲覀円獙W(xué)習(xí)ollvm理茎,必須先抓住關(guān)鍵,到底一個(gè)llvm是如何變?yōu)閛llvm管嬉,這是最簡單,最直觀的學(xué)習(xí)方式朗鸠。
我們?nèi)ハ螺d一份llvm4.0源碼(官網(wǎng)http://releases.llvm.org/4.0.1/llvm-4.0.1.src.tar.xz)和ollvm源碼(https://github.com/obfuscator-llvm/obfuscator/tree/llvm-4.0)蚯撩,之所以使用4.01,因?yàn)?.0.0是2017.03的烛占,而4.01相對時(shí)期接近一點(diǎn)胎挎。然后拉入beyondcompare,這里把會(huì)話設(shè)置取消勾選“比較時(shí)間戳”忆家,以及把比較設(shè)置為“僅文件”犹菇,時(shí)間戳因?yàn)楸容^時(shí)間不是我們的重點(diǎn),而之所以不采用原先的文件結(jié)構(gòu)比較芽卿,是因?yàn)閮烧叨加幸恍┛瘴募A揭芍,沒有比較的意義。如圖:
[圖片上傳失敗...(image-6a7250-1523154756216)]
[圖片上傳失敗...(image-49190c-1523154756216)]
看來主要的差別就在這些文件夾里了卸例。先看最外層的CMakeLists.txt(整個(gè)工程使用cmake編譯)等3個(gè)文件:基本都是加入了產(chǎn)品的一些信息和協(xié)議:
[圖片上傳失敗...(image-827a5d-1523154756216)]
主要是其他四個(gè)文件夾:
utils文件夾:主要是Revision的細(xì)微差別
[圖片上傳失敗...(image-294408-1523154756216)]
[圖片上傳失敗...(image-21cb4-1523154756216)]
tools文件夾:ollvm中有clang文件夾称杨,也可以看出clang是作為工具在llvm中存在肌毅,而llvm中并沒有此文件夾,在llvm官網(wǎng)中clang是作為單獨(dú)源碼而存在
[圖片上傳失敗...(image-eea73f-1523154756216)]
include文件夾(整個(gè)文件夾內(nèi)都是.h文件夾):
[圖片上傳失敗...(image-ac8105-1523154756216)]
Ollvm多了llvm\Transforms\obfuscation文件夾姑原,可以看出ollvm添加了一些功能頭文件悬而,一共6個(gè)文件。其中有5個(gè)我們可以理解為具體參數(shù)功能锭汛,fla 參數(shù)表示使用控制流平展(Control Flow Flattening)模式笨奠,sub參數(shù)表示使用指令替換(Instructions Substitution)模式,bcf參數(shù)表示使用控制流偽造(Bogus Control Flow)模式唤殴,aesSeed參數(shù)表示aes加密隨機(jī)種子般婆,split參數(shù)表示分離代碼塊,我們常用的是sub\bcf\fla眨八∠傩耍混淆參數(shù)代碼我們在接下來分析,先看Utils.h文件
Utils.h(功能箱):
[圖片上傳失敗...(image-1eda5-1523154756216)]
其實(shí)這里也可以看出來廉侧,ollvm基于了llvm页响,使用了llvm的頭文件,這些頭文件也在該include文件夾段誊。
lib文件夾(\lib\Transforms):
[圖片上傳失敗...(image-c92291-1523154756214)]
這里稍微麻煩點(diǎn)闰蚕,我們還是從最外層的兩個(gè)文件分析,主要添加了obfuscation目錄的編譯和構(gòu)建:
CMakeLists.txt:
[圖片上傳失敗...(image-20127c-1523154756214)]
LLVMBuild.txt:
[圖片上傳失敗...(image-eb9af6-1523154756214)]
再來看IPO文件夾的兩個(gè)文件:
LLVMBuild.txt:
[圖片上傳失敗...(image-4a9d24-1523154756214)]
PassManagerBuilder.cpp(從文件名可以看出连舍,pass管理生成没陡,ollvm就是寫pass),我們分三部分解析:
導(dǎo)入ollvm特有的頭文件
[圖片上傳失敗...(image-abaca3-1523154756214)]
添加混淆參數(shù)flag:
[圖片上傳失敗...(image-bee5cd-1523154756214)]
首先進(jìn)行全局aes(aesSeed)隨機(jī)種子密碼初始化索赏,接著把ollvm混淆功能函數(shù)(split\fla\bcf\sub)添加進(jìn)去盼玄,而添加的這些函數(shù),都可以在上面include文件夾的頭文件找到潜腻,
BogusControlFlow.h埃儿、Flattening.h、Substitution.h融涣、CryptoUtils.h等童番。
[圖片上傳失敗...(image-ae17ef-1523154756214)]
以BogusControlFlow為例來看:
[圖片上傳失敗...(image-d35bc-1523154756214)]
再以CryptoUtils為例來看:
[圖片上傳失敗...(image-3aeec-1523154756214)]
[圖片上傳失敗...(image-1d2cb-1523154756214)]
最后以Split為例來看:
Split.h(分離基礎(chǔ)塊,這里可能對于BasicBlock基礎(chǔ)塊不太明白威鹿,就簡單理解為代碼塊剃斧,也可以推測LLVM基于的是模塊):
[圖片上傳失敗...(image-dcfb2e-1523154756214)]
如果存在一些疑惑,請仔細(xì)對比一看忽你,是不是全部對上了幼东?
最后一個(gè)文件夾,obfuscation文件夾,里面就是具體的CPP代碼了筋粗,是不是要加點(diǎn)策橘,然后,娜亿,丽已,
[圖片上傳失敗...(image-5e22cf-1523154756212)]
當(dāng)然我們現(xiàn)在還是沒有接觸到具體的代碼,但對于以上的邏輯分析清楚特別重要买决,為以后我們自己的pass添加鋪路幕袱。下面以BogusControlFlow.cpp為例示罗,來看看pass的編寫让网。
我們使用sourceinsight4可以非常清晰的看到該代碼的邏輯組成
先回到BogusControlFlow.h拴清,看到了pass.h
[圖片上傳失敗...(image-9f3d22-1523154756212)]
接著來到BogusControlFlow.cpp的llvm pass代碼處,而createBogus函數(shù)躲舌,我們在前面的PassManagerBuilder.cpp是見到過的丑婿。
[圖片上傳失敗...(image-9a5f35-1523154756212)]
往下跟,BogusControlFlow是一個(gè)結(jié)構(gòu)體没卸,跟到runOnFunction羹奉,
[圖片上傳失敗...(image-bcce3a-1523154756212)]
runOnFunction調(diào)用了bogus函數(shù)
[圖片上傳失敗...(image-cf0657-1523154756212)]
bogus調(diào)用了addBogusFlow函數(shù)
[圖片上傳失敗...(image-276de0-1523154756212)]
addBogusFlow函數(shù)意為添加假流程,看來這里就是比較核心的函數(shù)實(shí)現(xiàn)了
[圖片上傳失敗...(image-8ad2d0-1523154756212)]
其實(shí)英文寫的都是非常清楚的约计,現(xiàn)在翻譯挺智能的诀拭,意思為:
[圖片上傳失敗...(image-2e2231-1523154756212)]
這里意思大概應(yīng)該結(jié)合著前面學(xué)習(xí)都理解了,除了phi節(jié)點(diǎn)煤蚌,對數(shù)據(jù)結(jié)構(gòu)有點(diǎn)了解的朋友都知道節(jié)點(diǎn)耕挨,節(jié)點(diǎn)就有前驅(qū)和后續(xù)節(jié)點(diǎn),直接看代碼理解尉桩,
[圖片上傳失敗...(image-e9f940-1523154756212)]
但在真實(shí)代碼中筒占,phi并不存在,因此我們要繼續(xù)消除phi蜘犁,這也是轉(zhuǎn)為真實(shí)指令的重要一步赋铝,對于以上代碼,我們可以如下消除:
[圖片上傳失敗...(image-562514-1523154756212)]
bb就是我們剛剛見到的BasicBlock沽瘦,這樣我們就消除了phi節(jié)點(diǎn),同時(shí)更進(jìn)一步理解了addBogusFlow函數(shù)的意思农尖,LLVM中使用reg2mem pass來對phi進(jìn)行消除析恋。至此,一切又回到了我們最初對LLVM的介紹盛卡。
