逆向工程师的OLLVM字符串解密手册:从IDA静态分析到Frida动态补丁

最新推荐文章于 2026-06-19 16:53:23 发布
原创 最新推荐文章于 2026-06-19 16:53:23 发布 · 1k 阅读 · 28
标签
#逆向工程 #OLLVM #Frida #字符串加密

OLLVM字符串解密实战:从静态特征识别到Frida动态补丁

1. OLLVM字符串加密机制解析

在逆向工程领域,OLLVM(Obfuscator-LLVM)的字符串加密一直是让分析者头疼的问题。这种保护机制通过编译时对字符串进行加密处理,运行时再动态解密使用,使得静态分析工具难以直接获取原始字符串内容。

典型加密特征通常表现为:

  • 导出表中出现.datadiv_decode前缀的函数名
  • 数据段中存在大量byte_开头的变量定义
  • 代码中存在连续的异或(XOR)操作指令
  • .init_array段中包含解密初始化函数

以实际案例中的libhello-jni.so为例,IDA静态分析可见如下特征代码:

byte_37118 ^= 0xD2u;  // 典型的异或解密操作
byte_37119 ^= 0xD2u;

加密原理主要分为三种实现方式:

  1. 简单异或:每个字节与固定密钥异或
  2. 轮换密钥:按特定规律变化的动态密钥
  3. 复合运算:结合移位、加减等操作的复杂变换

2. 静态分析定位加密特征

2.1 IDA识别关键模式

使用IDA Pro进行静态分析时,可按照以下步骤定位加密逻辑:

  1. 检查导出表:通过View → Open subviews → Exports,按Name排序查找.datadiv_decode相关函数
  2. 分析交叉引用:对可疑的byte_变量按X键查看引用关系
  3. 定位解密函数:通常在.init_arrayJNI_OnLoad中初始化

关键指令模式识别表

指令模式 典型特征 对应解密操作
DCQ/DCB 数据定义指令 加密数据存储
EOR 异或指令 基本解密操作
LDRB+EOR
最低0.47元/天 解锁文章
onion
关注
看雪3万课程笔记-Frida 辅助分析ollvm字符串加密(一)
kfyzjd2008的博客
03-04 1306
一、ollvm的混淆原理: 视频中是这样说的,程序在编译过程中会加密字符串,运行时会解密字符串,所以在运行过程中我们可以获取到它真正的字符串, 二、操作: IDA打开.so文件,在导出函数中搜索.data会发现三个.datadiv_decode+随机数字段。双击进入 双击一个进入 如图,比如我们想看看byte_37031,byte_37031是什么字符。打开010 Editor file -> new -> new hex file 打开一个新的十六进制文本,输入 15
OLLVM两种混淆方式:初始化解密和运行时解密
小龙在线
01-12 1673
OLLVM混淆函数名:std::string_ 查找JNI_OnLoad 加载Android ARM库: 修改类型: 双击查看v6 = off_33D60里的off_33D60: print_dex(0x37070)是sign1。 查看交叉引用: 是std::string_::形式的函数,改了函数的名字,这是OLLVM的另一种加密函数,在.init_array段里面: OLLVM字符串使用前混淆:运行时解密 Ctrl+S打开.init_array: 查看sub_6CEC函数: 都赋值
ollvmida trace操作笔记
esabeny的博客
01-26 2091
1.启动顺序操作记录 1.把android_server push到手机里 2.chmod 777 android_server 3.adbforward tcp:11678 tcp:11678 4.ida->debugger->attach->arm-androddebugger 5.再按f9把程序跑起来 6.file->script_file->选择script.py加载ida脚本,成功后会有日志 7.然后点击Debugger->breaklist里可以看到我们的断
安卓逆向(OLLVM
hongsegeming的博客
02-15 2329
好,我们先来简单了解一下编译的过程,再讲一下 LLVM 怎么解决编译中的问题。前端(Frontend):就像你写的文章,它会先被检查有没有语法错误(就像老检查你的作文有没有拼写错误、句子不通顺),然后会变成一种更简单的语言,这种语言就是中间代码(好比是翻译成了一种大家都能懂的语言,方便后面的步骤处理)。优化(Optimizer):这一步就像是你检查自己写的文章,看看有没有可以删掉的部分,或者有没有能合并的句子。目标是让文章更加简洁明了,省时间。就像程序代码中删掉没用的部分,合并冗余的代码,提升运行速度。后
Frida Hook实战:绕过VMP+OLLVM双重混淆的快速逆向分析
a1b2c的博客
02-15 238
本文详细介绍了如何利用Frida动态Hook技术快速绕过VMP+OLLVM双重混淆保护。通过构建Libc、JNI和Java三层Hook体系,直接捕获运行时关键函数调用和参数,无视指令级混淆和字符串加密,高效定位并绕过包名校验等防护逻辑,大幅提升逆向分析效率。
Frida动态追踪OLLVM字符串解密:从.init_array到JNI_OnLoad的实战解析
weixin_29323365的博客
02-18 357
本文深入解析了使用Frida动态追踪OLLVM字符串加密的实战技巧。针对OLLVM字符串混淆的三种典型模式,文章提供了从Hook .init_array到JNI_OnLoad,再到精准Inline Hook解密指令的完整解决方案,帮助逆向分析人员在运行时内存中成功提取解密后的明文字符串,有效对抗代码混淆。
Frida反检测实战:从原理剖析到B站App对抗案例
weixin_29315569的博客
03-18 113
本文深入探讨了Frida反检测技术在B站App中的实战应用,从动态插桩原理到具体对抗案例。通过分析B站的多层防护体系,详细介绍了线程创建监控绕过、内存扫描对抗等关键技术,并提供了完整的自动化对抗脚本实现方案,帮助开发者有效应对高级反调试机制。
CTF逆向工程入门指南:从零掌握网络安全核心技能
Eric.Net的专栏
06-19 265
逆向工程是网络安全领域的核心技术之一,它通过分析软件二进制代码来理解其内部逻辑与工作原理。这项技术基于计算机系统底层原理,涉及汇编语言、操作系统和程序结构等基础知识,能够帮助安全人员发现软件漏洞、分析恶意代码。在工程实践中,逆向工程常应用于软件安全审计、漏洞挖掘和恶意软件分析等场景。本文聚焦于CTF竞赛中的逆向工程挑战,详细介绍了静态分析动态调试等核心方法,并系统梳理了从Ghidra、IDA Pro到x64dbg等工具链的配置与使用技巧,为初学者提供了清晰的学习路径和实战案例。
iOS越狱技术演进:从硬件漏洞到应用级破解的完整技术栈
weixin_34342905的博客
06-19 220
iOS越狱技术经历了从软件漏洞到硬件漏洞的范式转移。传统越狱依赖软件漏洞,易被系统更新修复,而硬件漏洞(如Bootrom漏洞)因其不可修复性,提供了更稳定的突破口。这种底层突破为系统级越狱和应用级破解奠定了基础。在技术价值上,硬件漏洞利用实现了对Secure Boot链的绕过和代码签名限制的解除,为深度系统修改提供了可能。应用场景包括安全研究、自动化测试和第三方功能扩展等。本文聚焦于iOS 26.5时代的越狱技术,探讨了从硬件漏洞挖掘到运行时应用控制的技术栈,其中涉及对checkm8等硬件漏洞的利用,以及通
ida动态调试_初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码
weixin_39616379的博客
12-01 813
本文为看雪论坛优秀文章看雪论坛作者ID:无造本文为看雪安卓高研3w班(5月班)优秀学员作品。下面先让我们来看看讲对学员学习成果的点评,以及学员的学习心得吧!讲点评ollvm混淆强度不是很强的时候,可以通过IDA静态分析参数的交叉引用和返回值的来源,定位到与参数相关的函数,然后使用frida hook这些函数,定位到处理参数或生成返回结果的关键函数。但是ollvm混淆强度比较强的时候,...
【iOS逆向与安全】使用ollvm混淆你的源码
小陈的技术博客
02-27 4222
当你在研究别人源码的时候,是不是期望着别人代码没有进行任何的防护和混淆。这时的你,是不是应该考虑一下自己代码的安全.本篇文章将告诉你,如何使用ollvm来混淆iOS端的代码【此文为入门贴,大佬请绕道】。
SO逆向实战:Unidbg与IDA联手破解OLLVM混淆下的签名算法
banana的博客
02-28 656
本文详细介绍了在Android SO逆向工程中,面对OLLVM混淆的挑战,如何采用Unidbg模拟执行与IDA静态分析相结合的新策略。通过实战案例,演示了如何绕过复杂的控制流混淆,直接定位并调用核心签名函数,并结合FindHash插件快速识别MD5算法,有效破解了传统Frida+IDA方法难以处理的难题。
记一次解密ollvm字符串
SolarLove的博客
03-21 688
解密37010中的字符串 加密字符串 寻找异或的V0地址,tab按住V0直接过去,发现是0xC6 image.png 然后看37010这个数组,双击它 ,发现它有两个地址 image.png 左下角是(36010)so中的地址,37010是IDA加载的地址 将so拖入010EDITOR,输入36030 image.png image.png 选中360...
混淆解密_使用IDA trace来还原ollvm混淆的非标准算法
weixin_39976413的博客
01-13 1518
本文为看雪论坛优秀文章看雪论坛作者ID:pass_这是3W班9月的题目。题目使用ollvm混淆算法。通过题目我掌握了IDA trace的使用方法,并灵活使用frida及调试等方式来获得中间状态来完成题目。但是对常见算法不够熟悉,导致恢复了整个base64。这个工作量实际是可以省下的。先拖进IDA看看,不是能简单逆向出来的。先上trace。拿到trace的log后,尝试从输出往前找。本次...
最右ollvm字符串混淆还原
ST0new的博客
03-22 2822
某apk so层ollvm字符串混淆 本次逆向分析用到的工具:adb、ida、010Editor、ddms。 这次主要对某右的libnet_crypto.so分析,主要工作是分析ollvm混淆的字符串被处理加密。 先检测一下设备是否正常 adb devices 然后解压apk文件,提取出lib目录下的libnet_crypto.so文件 armeabi-v7a对应的是32位的ARM设备,调试使用IDA,不要用IDA64 so文件挺大的,编译需要等待一会,看一下字符串,基本都是混淆加密的 接下来,分
OLLVM混淆环境搭建详细教程
热门推荐
会飞的丑小鸭的博客
08-20 1万+
一 简介 LLVM:一个编译器,用来编译so和可执行文件等 OLLVM:在LLVM的基础上去混淆so   二 OLLVM混淆环境搭建 1.环境配置 虚拟机:VMware 系统:Ubuntu-12.04.5-64位(这里也测试了另一个linux系统ubuntu-17.10.1-64位 编译不出来,ollvm缺少clang) OLLVM版本:obfuscator-llvm-3.4 n...
Unidbg系列--Ollvm字符串解密
Tasfa的博客
06-25 1300
Ollvm字符串解密 原理 使用unidbg框架,模拟调用So文件,并Hook内存写操作,当so解密操作写入内存时,回调获取解密字符串,并将其写入新so文件中,达到反OLLVM字符串加密的目的。 解密脚本 package com.xCrack; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.github.unidbg.Module; import com.github.unid
Android安全之NDK的代码混淆 -- Ollvm
没错, 我是东芝
05-30 8867
Android真的很安全吗?很多Android开发者都认为 把关键代码放到c/c++里 然后打包静态库 然后破解者就无法破解 我想说 你太嫩了
FridaIDA分析OLLVM控制流程平坦化
小龙在线
01-12 3018
简介:https://github.com/obfuscator-llvm/obfuscator/wiki/Control-Flow-Flattening 特征:常量很多,用来根据常量跳转到正确的位置。 分析控制流程平坦化,主要是分析交叉引用,有两种方法,一种从输入参数开始分析交叉引用,一种是从输出结果分析交叉引用。 ...
Snake最终版以及程序文件
最新发布
06-20
在gcc环境下使用,包含所有使用到的资源
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值