学习推荐|第三期|混淆与反混淆

admin
admin
admin
0
文章
0
评论
2026-01-20 01:19:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文档推荐了关于二进制混淆与反混淆的第三期课程,重点讲解Angr符号执行的实战应用。内容涵盖间接跳转、控制流平坦化等混淆手法的分析与修复,教授学员使用Angr、Lief等框架编写自动化反混淆脚本。该课程旨在帮助安全研究者掌握应对编译优化及定制变种的二进制自动化分析能力。 综合评分: 60 文章分类: 二进制安全,逆向分析,安全培训

cover_image

学习推荐 | 第三期 | 混淆与反混淆

原创

二进制磨剑 二进制磨剑

二进制磨剑

2026年1月19日 16:04 四川

交互式UI的优点:

  1. 支持自动分析
  2. 支持人工调整分析结果
  3. 支持人工调整修补结果
  4. 支持动态导航地址

交互式 UI 最大程度应对编译优化(例如共用尾部基本块、部分平坦化、多分发器)、定制变种修改(状态变量复杂化、过程间加密等)带来的分析困难挑战。

本期课程将带你深入解析二进制混淆技术,重点讲解 Angr 符号执行 的实战应用。我们将拆解多种常见的混淆手法,如 间接跳转字符串混淆虚假控制流控制流平坦化 和 跨函数混淆,帮助你理解这些技术在真实环境中的应用。课程从混淆器的设计角度,分析多种优秀开源混淆器的实现。你还将学习多种先进的二进制分析工具,包括 angr、capstone、keystone、unicorn等分析框架,以及用于修补二进制的 lief 框架。

无论你是安全研究者还是逆向分析爱好者,这门课程都能帮助你更高效地理解和对抗二进制混淆!

实战内容

  • 字符串混淆分析与修复
  • 变种间接跳转多出口分析与修复
  • 过程间混淆分析与修复
  • 控制流平坦化分析与修复

课程目录

(已完结)

  • 1-混淆与反混淆基础概念
  • 2-约束求解与 angr 符号执行
  • 3-污点分析框架构建与实战
  • 4-模拟执行 unicorn 与 angr
  • 5-反汇编框架 capstone
  • 6-汇编框架 keystone
  • 7-IDAPython 编程与基本块分析
  • 8-实战静态分析反混淆
  • 9-IDA 微码基本块优化器
  • 10-llvm 核心概念与混淆开发
  • 11-Goron 间接跳转混淆原理分析
  • 12-符号执行分析间接跳转混淆
  • 13-符号执行分析IPO过程间混淆
  • 14-控制流平坦化建模
  • 15-符号执行分析控制流平坦化
  • 16-控制流平坦化修补

课程目标

学习高级程序自动化分析方法,自动化去除变种间接跳转(例如多个出口的 BR 跳转)混淆、变种控制流平坦化混淆(例如多个主分发器)。

反混淆三部曲:自动分析 -> 自动修补 -> 验证

  1. 分析:实现自动化混淆分析脚本;
  2. 修补:实现自动化混淆修补脚本;
  3. 验证:验证反混淆修补后的程序能够正常运行且无混淆特征。

控制流平坦化混淆后的 tinfl_decompress 函数,伪代码有 6k 行,逆向分析困难,通过课程教授的方法和脚本,能够还原为清晰结构,与无混淆代码接近一致的伪代码。

aarch 64 指令集 ollvm 的主分发器可能出现大量嵌套、平行的结构,传统模拟执行方案很难覆盖所有情况,课程采用符号执行对分析混淆函数,利用符号执行对反混淆问题进行抽象处理,极大增反混淆方法的加适用性。

经过脚本反混淆后,目标函数结构清晰,与无混淆情况下反编译效果一致。

双出口的 BR 跳转

修补后能够完整反编译代码

清晰、统一的控制流建模架构

间接跳转多出口路径探索

br_state_1 = run_until_br(proj, init_state, csel_selector=1)
br_state_2 = run_until_br(proj, init_state, csel_selector=2)

控制流平坦化多出口路径探索

succ_state1 = run_until_lists(proj, init_state, csel_selector=1)
succ_state2 = run_until_lists(proj, init_state, csel_selector=2)

课程收获

技术与能力收获

  • 系统掌握 Angr 符号执行框架
  • 系统掌握 keystone 、capstone、unicorn 框架基础方法
  • 掌握常见混淆自动化分析方法
  • 掌握编译原理中用于二进制自动逆向工程的方法
  • 掌握 llvm 混淆开发、定制以及移植方法
  • 掌握 IDAPython 进阶编程技术
  • 掌握 IDA 微码(Microcode) 基础知识

代码与工具收获

  • 支持多分发器的控制流平坦化通用反混淆脚本 (aarch64)
  • 支持多出口的间接跳转混淆通用反混淆脚本(aarch64)
  • 混淆与反混淆实验环境

实验使用的框架:llvm + angr + unicorn + keystone + capstone  + lief + pwntools

报名

课程价格:999

报名咨询:后台回复 “课程”

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:二进制磨剑 二进制磨剑 二进制磨剑《学习推荐 | 第三期 | 混淆与反混淆》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0