最近搞了一个还原Armariris字符串混淆的ida插件，不知道大佬们有没有兴趣

@smartdone wrote:

原理很简单，Armariris会加一些带有datadiv_decode的函数，在可执行文件或者动态库初始化的时候就会执行，将字符串还原。脚本使用unicorn engin去调用这些函数，将执行后的数据使用ida patch上去(脚本链接:https://github.com/smartdone/re_scripts/blob/master/ida/Armariris_string_obfuscation_bypass.py)。效果如下：
还原前：

1.png1612×1192 281 KB

1.png

还原后

2.png1984×1200 542 KB

2.png

Posts: 6

Participants: 5

Read full topic