arm架构中干扰ida静态分析的一些方法
破坏堆栈
ida会在分析一个函数的时候会计算堆栈指针的变化,如果不平衡就无法进行F5。
滥用ret
ida在分析函数时,如果碰到ret指令就认为当前函数分析结束。通过内联汇编利用arm64的ret指令可以干扰ida的F5。
__asm__ volatile(
"adr x30,0x0 \n\t"
"add x30,x30,0xc \n\t"
"ret \n\t"
);
F5并不会分析此内联汇编后面的代码,目标函数在起始位置使用此内联汇编后F5什么也没分析。
间接跳转
ida使用的递归下降的反汇编引擎,此类反汇编引擎最大的缺点就是无法分析间接跳转。通过在程序中穿插间接跳转的内联汇编可以干扰ida的F5分析
// arm32
__asm__ volatile(
"mov r0,pc \n\t"
"add r0,0x10 \n\t"
"push {r0} \n\t"
"pop {r0} \n\t"
"bx r0 \n\t"
"mov r1,r0 \n\t"
);
// arm64
__asm__ volatile(
"adr x30,0x0 \n\t"
"add x30,x30,0xc \n\t"
"br x30 \n\t"
);
目标函数使用间接跳转后,F5会产生JUMPOUT伪代码调转到后续指令,无法直接将整个函数分析出来。
穿插thumb和arm
ida无法同时识别thumb和arm两种指令模式,可以在arm程序中穿插thumb汇编来干扰ida分析。
__asm__ volatile(
"mov r0,pc \n\t"
"adds r0,0xd \n\t"
"push {r0} \n\t"
"pop {r0} \n\t"
"bx r0 \n\t"
//thumb指令
".byte 0x00 \n\t" \
".byte 0xBF \n\t" \
\
".byte 0x78 \n\t" \
".byte 0x46 \n\t" \
\
".byte 0x02 \n\t" \
".byte 0x30 \n\t" \
\
".byte 0x00 \n\t" \
".byte 0x47 \n\t" \
:::"r0" \
);
//nop
//mov r0,pc
//adds r0,2
//bx r0
7.5版本的ida无法分析thumb指令以及其后面的指令,7.7版本的ida进行了优化可以分析thumb指令后的指令。二者f5都无法完整的分析此函数。
虚假控制流增加垃圾指令
通过ollvm的虚假控制流,在虚假块中添加垃圾指令,这些垃圾指令是无意义的并且永远不会被运行。ida无法分析这些垃圾指令,从而无法进行F5。例如编写虚假控制流pass时在所有虚假块中增加垃圾指令:__asm__(nop\n\t.byte 0xff\n\t.byte 0xf1)。
void insert_unless_instruct(llvm::BasicBlock &BB) {
LLVMContext& context = BB.getContext();
BasicBlock::iterator IP = BB.getFirstInsertionPt();
IRBuilder<> builder(&(*IP));
builder.SetInsertPoint(&BB, ++builder.GetInsertPoint());
StringRef asmString = "nop\n\t.byte 0xff\n\t.byte 0xf1\n\t";
StringRef constraints = "~{dirflag},~{fpsr},~{flags}";
InlineAsm *IA = llvm::InlineAsm::get(
FunctionType::get(
Type::getVoidTy(context), false),
asmString,
constraints,
true,
false,
InlineAsm::AD_ATT);
ArrayRef<Value *> Args = None;
llvm::CallInst *Ptr = builder.CreateCall(IA,Args);
Ptr->addAttribute(AttributeList::FunctionIndex, Attribute::NoUnwind);
}
查看pass处理过的IR流程图,所有的虚假块都被加上了垃圾指令。
ida无法分析虚假块中垃圾指令位置的汇编,流程图和F5都无法工作。
参考链接:https://github.com/AppleReer/Anti-Disassembly-On-Arm64
以上谨代表个人观点,仅供参考!
