OLLVM

0X01 OLLVM简介

OLLVM（Obfuscator-LLVM）是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个项目，该项目旨在提供一套开源的针对LLVM的代码混淆工具，以增加对逆向工程的难度。目前，OLLVM已经支持LLVM-3.6.1版本。

LLVM是一个优秀的编译器框架，它也采用经典的三段式设计。前端可以使用不同的编译工具对代码文件做词法分析以形成抽象语法树AST，然后将分析好的代码转换成LLVM的中间表示IR（intermediate representation）；中间部分的优化器只对中间表示IR操作，通过一系列的Pass对IR做优化；后端负责将优化好的IR解释成对应平台的机器码。LLVM的优点在于，中间表示IR代码编写良好，而且不同的前端语言最终都转换成同一种的IR。

LLVM IR是LLVM的中间表示，优化器就是对IR进行操作的，具体的优化操作由一些列的Pass来完成，当前端生成初级IR后，Pass会依次对IR进行处理，最终生成后端可用的IR。

OLLVM的混淆操作就是在中间表示IR层，通过编写Pass来混淆IR，然后后端依据IR来生成的目标代码也就被混淆了。得益于LLVM的设计，OLLVM适用LLVM支持的所有语言（C, C++, Objective-C, Ada 和 Fortran）和目标平台（x86, x86-64, PowerPC, PowerPC-64, ARM, Thumb, SPARC, Alpha, CellSPU, MIPS, MSP430, SystemZ, 和 XCore）。

0X02 OLLVM Android编译环境搭建

以下，介绍OLLVM Android编译环境的搭建过程。环境信息：ndk（android-ndk-r10e）、LLVM（llvm-3.6.1）

首先下载源码，编译OLLVM混淆器，这里采用LLVM的版本是3.6.1。下载编译过程如下：

git clone -b llvm-3.6.1 https://github.com/obfuscator-llvm/obfuscator.git
mkdir build
cd build
cmake -DCMAKE_BUILD_TYPE:String=Release ../obfuscator/
make -j5

下载的源码里已经包含了LLVM和Clang，编译完成后，编译好的二进制程序都存放在build/bin目录下。

依据github上的 wiki ，bin目录下编译好的工具链可以直接用来编译混淆linux下的程序，就像我们常用的gcc那样。若想使用OLLVM来混淆Android Native程序，还需将bin目录下的工具链整合进ndk环境中。

按照ndk编译工具链的组织结构，我们照样子新建一条工具链即可。在toolchains目录下新建obfuscator-llvm-3.6目录，并将llvm-3.6目录下的config.mk、setup.mk和setup-common.mk拷贝到obfuscator-llvm-3.6目录中，不做任何修改。然后，把源码编译好的bin目录和lib目录按照llvm-3.6中prebuilt/linux-x86_64的目录格式拷贝。接着，在toolchains目录下分别建立arm-linux-androideabi-obfuscator3.6, mipsel-linux-android-obfuscator3.6, x86-obfuscator3.6目录，注意文件夹的前缀要与原toolchains中的目录保持一致，然后把arm-linux-androideabi-clang3.6, mipsel-linux-android-clang3.6, x86-clang3.6文件夹下的 config.mk 和 setup.mk 对应拷贝到上述三个文件夹中，此时要分别修改 setup.mk 中的 LLVM_NAME ，即将其指定到开始建立的obfuscator-llvm-3.6目录。

LLVM_NAME := obfuscator-llvm-$(LLVM_VERSION)

若编译64位版本的so，也要按照上面的格式依次配置x86_64-obfuscator3.6，mips64el-linux-android-obfuscator3.6，aarch64-linux-android-obfuscator3.6三个文件夹。还要修改$NDK_PATH/build/core/setup-toolchain.mk文件，在NDK_64BIT_TOOLCHAIN_LIST := 加入 obfuscator 对应的NDK_TOOLCHAIN_VERSION

NDK_64BIT_TOOLCHAIN_LIST := obfuscator3.6 clang3.6 clang3.5 clang3.4 4.9

至此，新增加的具备OLLVM混淆的编译工具链就添加完成了，在编译native程序时，在Android.mk和Application.mk中配置编译参数即可。

在Application.mk中指定编译器名字：

NDK_TOOLCHAIN_VERSION := obfuscator3.6

在Android.mk中设置混淆参数：

LOCAL_CFLAGS += -mllvm -sub -mllvm -bcf -mllvm -fla

这样配置完成后，使用ndk-build命令即可编译出混淆代码。代码在64位机器上执行正常，内容仅仅是一条if-else语句，混淆的效果确实不错。

参考

• Android LLVM-Obfuscator C/C++ 混淆编译的深入研究
• The LLVM Compiler Infrastructure
• obfuscator-llvm

基于andserver搭建调用so环境(已更新 抖音11.0.0 x-gorgon)
抖音11 x-gorgon逆向，可参考

 java.lang.String r3 = "X-Gorgon"
  java.lang.String r4 = "X-Khronos"
  java.lang.String r5 = ""
  java.util.HashMap r6 = new java.util.HashMap
  r6.<init>()

 //返回相关
  L_0x02ec:
                    return r6