底层虚拟机混淆器(OLLVM)是一个著名的代码混淆工具，除了用于保护商业软件的安全外，也被恶意代码的开发者所利用，以此增加分析难度。为便于安全研究人员对ARM恶意程序进行分析，提出并实现了基于动态分析的OLLVM自动化反混淆方法。对于虚假控制流，根据不透明谓词的内存特征监控内存读写并利用动态污点分析技术识别虚假控制流来完成反混淆；对于控制流平坦化，通过动态运行程序并记录基本块的执行顺序来完成反混淆；同时利用多执行路径构造来提高代码覆盖率，最后通过指令修复还原基本块之间的关系。实验结果表明，该方法可准确消除可执行程序中因混淆产生的条件分支，且反混淆后得到的程序其运行结果与未混淆的程序保持一致，能有效完成对ARM混淆程序的反混淆工作。

• 单位
  西南石油大学