if(a>0){ result=a+b; } else{ result=a-b; } return result;}圖10是func1的原始IR流程圖。從該圖可以看出,func1有4個basicblock。
圖10 func1原始IR圖flatten函數首先將本Function中除了第一個basicblock外的所有basicblock保存到一個vector容器中。接著對basicblock的數目進行了判斷,當basicblock的數目小於等於1時,flatten函數會直接退出並返回false。接著通過F->begin獲取本Function的第一個basicblock,並判斷該basicblock是否包含有跳轉指令;如果有,再進一步判斷該指令是否為條件跳轉,若是的話則獲取該條件跳轉指令的地址,並調用splitBasicblock函數通過該地址將第一個basicblock一分為二。在本例子中,對func1函數調用splitBasicblock函數之後,此時的IR圖如圖11 所示。
圖11 分割後的IR圖如果不是條件跳轉指令(比如for循環),則將跳轉指令的目標basicblock存儲起來,後面會將該basicblock添加到switch-case中。接著,將第一個basicblock與下一個basicblock的跳轉關係刪除,代碼為:insert->getTerminator()->eraseFromParent();刪除後的IR圖如圖12所示。
圖12 刪除第一個basicblock的跳轉指令之後的IR圖然後在第一個basicblock的末尾創建一個變數switchVar並賦予它一個隨機的值,接著創建三個新的basicblock塊,分別為「loopEntry」、「loopEnd」以及「swDefault」,並且設置好它們之間的跳轉關係,此時的IR圖如圖13所示。
圖13 設置好基本跳轉關係後的IR圖這時,基本的switch-case已經有了,下一步操作是將保存在vector中的每一個basicblock都添加到switch-case語句中,每一個basicblock對應一個case,並且每個case的值都是一個隨機值。此時的IR圖如圖14所示。
圖14 增加case後的IR圖添加了全部basicblock塊之後,需要修改每個basicblock塊之間的跳轉關係,使得每個basicblock塊執行完畢之後,會重新設置switchVar的值,從而回到switch的判斷語句時,能夠順利的跳轉到下一個case,直到程序執行完畢。此時的IR圖如圖15所示。
圖15 修改各case之間的關係後的IR圖從圖11和圖15的差別可以看出,執行Flattening後,函數的多了一些basicblock塊,而且函數的核心實現部分均位於同一層,每次執行完一個basicblock塊後均要返回loopEntry才能執行下一個basicblock。fla和bcf的互相配合,能大大的提高對函數的混淆效果。4. Pass3:SubstitutionSubstitution的主要功能是對程序的一些指令進行替換。4.1 入口函數runOnFunctionBogusControlFlow繼承了FunctionPass,因此它的入口函數即為runOnFunction。在runOnFunction函數的具體實現中,首先判斷是否包含了啟動sub的命令。在編譯程序代碼時,如要啟動sub模塊,需要帶上參數「-mllvm -sub」。sub模塊還支持多次循環操作,可通過參數「-mllvm –sub-loop=xx」顯式的設定循環次數,默認為1。參數檢查完畢之後,調用substitute函數。substitute函數的功能是遍歷Function內的每一個指令,對符合要求的指令進行替換。4.2 Substitution函數該函數的實現主要是依靠最外層的do-while循環和兩個for循環。do-while循環主要是根據設定的sub循環次數運行兩個for循環。外層for循環是遍曆本Function中的每一個basicblock,裡層for循環是遍歷basicblock中的每一個指令,接著採用一個switch-case語句來對不同的指令進行不同的操作。目前,sub支持五種指令的替換,分別是「Add」、「Sub」、「And」、「Or」以及「Xor」指令。「Add」指令支持4種替換方法,分別是a = b - (-c)、a = -(-b + (-c))、r = rand (); a = b + r; a = a + c; a = a – r 、r = rand (); a = b - r; a = a + b; a = a + r 。「Sub」指令支持3種替換方法,分別是a = b + (-c)、r = rand (); a = b + r; a = a - c; a = a – r 、r = rand (); a = b - r; a = a - c; a = a + r 。「And」 指令支持2種替換方法,分別是a = b & c => a = (b^~c)& b 、a = a & b <=> !(!a | !b) & (r | !r) 。「Or」 指令支持2種替換方法,分別是a = b | c => a = (b & c) | (b ^ c) 、a | b => [(!a & r) | (a & !r) ^ (!b & r) |(b & !r) ] | [!(!a | !b) & (r |!r)] 。「Xor」 指令支持2種替換方法,分別是a = a ^ b => a = (!a & b) | (a & !b) 、a = a ^ b <=> (a ^ r) ^ (b ^ r) <=> (!a & r | a & !r) ^ (!b & r | b & !r) 。在substitute函數的switch-case中,程序會隨機的調用這些替換方法,部分代碼如圖16所示。
圖16 替換指令的代碼例如,Add指令中,funcAdd是個函數數組,裡面存儲了NUMBER_ADD_SUBST個替換add指令的函數,get_range是個獲取隨機數的函數,通過這種方法,可使替換的add具有一定的隨機性。對於其他的指令,也是採用類似add指令的方式進行替換的。5. 改進建議由於O-llvm的開源性,大家如果要使用該產品的功能,可以在它的基礎上做一些修改。比如在BogusControlFlow中,對於跳轉指令為真的分支,O-llvm採用如下指令進行替換「y<10 || x*(x-1)%2==0 」,使用IDA打開混淆後的so文件可輕易的發現該特徵。因此,我建議事先準備多條可以等價替換的指令,在遇到需要替換的地方時,隨機的選取其中一條等價指令進行替換。對於basicblock塊的劃分,也可以採用其他規則來進行劃分,大家可以腦洞大開,多嘗試嘗試。在Substitution中,我們也可以採用其他的等價指令進行替換,這裡也不再舉例了。6. 最後 前段時間,有人在看雪論壇發布了一篇名為《ollvm的混淆反混淆和定製修改》的文章(http://bbs.pediy.com/thread-217727.htm),大家也可以閱讀下該文章,加深對O-llvm的了解。網易雲安全(易盾)提供Android 應用加固和iOS 應用加固服務,點擊鏈接可免費試用。
