ollvm(孤挺花)混淆so

2019-12-17

忽然翻到之前的笔记, 一块备份上来吧

0x1 准备工作

ubuntu虚拟机, 系统版本: Ubuntu 12.04.1

Armariris项目地址: Armariris

ndk r18b: ndk

cmake（一定要最新的,不然坑死你）: cmake, 点击Download Latest Release就可以

0x2 配置环境

解压cmake : tar -zxvf [camke安装包]

卸载本机的旧版gcc, 安装5.5以上版本的gcc

1
2
3

先卸载本机的旧版gcc:
    sudo apt-get remove gcc
    sudo apt-get remove gcc-xx(xx为版本号)

设置软件源: launchpad , 找到自己想要的软件, 点进去就有命令设置源
最后再sudo apt-get gcc-6 g++-6 就开始安装了

把gcc环境变量指向gcc6

1	sudo update-alternatives --install /usr/bin/gcc gcc /usr/bin/gcc-6 60 --slave /usr/bin/g++ g++ /usr/bin/g++-6

就可以用gcc -v查看是否安装成功啦

0x3 编译Armariris

clone项目

1	git clone https://github.com/GoSSIP-SJTU/Armariris

新建build文件夹, cd进去, 执行命令, 然后等待编译完成
1
cmake -DCMAKE_BUILD_TYPE:String=Release ../Armariris

0x4 替换NDK编译链

把之前编译好的build里的”bin”, “lib”文件夹拷贝覆盖到ndk包里的/toolchains/llvm/prebuilt/linux-[xxx]/里

0x5 使用ollvm编译链编译so

新建jni文件夹(名称一定要是jni), 新建三个文件

1) 你需要编译的.cpp文件

2) Android.mk
	LOCAL_PATH := $(call my-dir)
	include $(CLEAR_VARS)
	LOCAL_CFLAGS := -fvisibility=hidden -mllvm -sobf -mllvm -fla -mllvm -sub -mllvm -seed=0xdeadbeaf #混淆选项
	LOCAL_MODULE := native-lib #输出的模块
	LOCAL_SRC_FILES := native-lib.cpp #需要编译的文件
	include $(BUILD_SHARED_LIBRARY) #编译成动态库

3) Application.mk
	APP_ABI := armeabi-v7a #目标平台
	APP_PLATFORM := android-16
	APP_BUILD_SCRIPT := Android.mk #编译脚本类型
	APP_STL := c++_static #静态链接stl
	APP_OPTIM := release #发布版

cd至jni文件夹, 执行ndk包里的ndk_build

ps: 你可能会遇到这个错误: clang++:error:unknown argument:'-nostdlib++'

-nostdlib++作用: 不连接系统标准启动文件和标准库文件,只把指定的文件传递给连接器
该编译选项这个选项常用于编译内核、bootloader等程序
解决办法: 
在ndk目录的, build/core/build-binary.mk文件里, 寻找-nostdlib++选项, 给注释就可以了

0x6 混淆效果

混淆前IDA流程视图:

混淆后IDA流程视图:

IDA伪代码视图:

0x7 最后

流水式的笔记, 可能会有纰漏和错误, 欢迎留言或加V指正