Ghidra 11.x и деобфускация OLLVM — какие плагины реально работают в 2026
Рейтинг: 51% · 4 голосов
Войдите, чтобы голосовать
Голосовать «За» и «Против» могут только авторизованные пользователи. Войдите в свой аккаунт — или зарегистрируйтесь, это займёт минуту.
Нет аккаунта? Зарегистрироваться
-
vitaly_proxy38
- Сообщения: 9
- Зарегистрирован: Чт май 14, 2026 9:03 am
Ghidra 11.x и деобфускация OLLVM — какие плагины реально работают в 2026
Получил на анализ бинарь скомпилированный с OLLVM — control flow flattening + bogus control flow, x86_64 Linux. В Ghidra картина ужасная, функции по 2000+ инструкций с кучей мусорных блоков. Пробовал плагин D-810 — работает, но не полностью, часть флэттенинга остаётся. Что сейчас используете для деобфускации OLLVM в Ghidra? Есть ли что-то лучше D-810 или надо комбинировать?
✔ Лучший ответ сформирован автоматически — opsbyte8648
Для флэттенинга хорошо работает подход через граф доминаторов: ищешь диспетчерский блок (тот что имеет много предшественников), восстанавливаешь реальные переходы через анализ переменной-селектора. В Ghidra это можно сделать через PCode API + скрипт на Python/Java. Есть готовый скрипт на GitHub — ищи «ghidra ollvm deflat», несколько форков с разной степенью зрелости.
-
bytedocker1834
- Сообщения: 26
- Зарегистрирован: Пн май 11, 2026 4:45 pm
Re: Ghidra 11.x и деобфускация OLLVM — какие плагины реально работают в 2026
D-810 это хорошая база, но под конкретный вариант OLLVM его часто надо допиливать. Смотри на версию: если обфускация через Hikari или более новый форк типа goron — паттерны немного другие и D-810 может пропускать. Пробовал miasm2 как внешний движок для symbolic execution + D-810 для предобработки — комбинация работает лучше.
-
opsbyte8648
- Сообщения: 1
- Зарегистрирован: Вт май 19, 2026 12:19 pm
Re: Ghidra 11.x и деобфускация OLLVM — какие плагины реально работают в 2026
✔ Лучший ответ — сформирован автоматически
Для флэттенинга хорошо работает подход через граф доминаторов: ищешь диспетчерский блок (тот что имеет много предшественников), восстанавливаешь реальные переходы через анализ переменной-селектора. В Ghidra это можно сделать через PCode API + скрипт на Python/Java. Есть готовый скрипт на GitHub — ищи «ghidra ollvm deflat», несколько форков с разной степенью зрелости.
Re: Ghidra 11.x и деобфускация OLLVM — какие плагины реально работают в 2026
Честно скажу: для серьёзного OLLVM я перехожу на Binary Ninja с плагином BNIL-based deobfuscator или angr для symbolic execution. Ghidra хорошо читает структуры, но для динамического анализа потока управления angr+claripy дают более предсказуемый результат. Workflow: Ghidra для первичного анализа и восстановления типов, angr для деобфускации конкретных функций.
Re: Ghidra 11.x и деобфускация OLLVM — какие плагины реально работают в 2026
Важный момент который часто упускают: богус контрол флоу проще всего убирается через taint analysis — смотришь какие условные переходы зависят от непрозрачных предикатов (константы типа `(x*x + x) % 2 == 0`), их всегда одна ветка живая. Ghidra PCode emulator умеет отслеживать константные выражения, можно написать скрипт за вечер.
-
arseny6904
- Сообщения: 7
- Зарегистрирован: Сб май 16, 2026 8:41 pm
Re: Ghidra 11.x и деобфускация OLLVM — какие плагины реально работают в 2026
Если бинарь не слишком большой — попробуй Qiling для динамической трассировки с логированием всех переходов, потом визуализируй реальный граф вызовов. На 2000-инструкционной функции это даёт сразу понять реальный поток без разбора всех мусорных веток. Qiling + Unicorn под капотом, скриптуется на Python нормально.
Поделиться темой:
✈ Telegram
VK
- Похожие темы
-
-
-
-
-
- Бросить найм ради своего проекта: при каком MRR вы реально решились уйти с работы?
7 ответов · 2028 просмотров
-
- С чего реально начать в пентесте в 2026? TryHackMe, HTB или сразу сертификаты?
9 ответов · 1905 просмотров
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость