ollvm原理 Obfuscator-LLVM Ollvm大致可分为 bcf(虚假块), fla(控制流展开/扁平化), sub(指令膨胀), Split(基本块分割) bcf： 克隆一个真实块，并随机替换其中的一些指令，然后用一个永远为真的条件建立一个分支。克隆后的块是不会被执行的。 Fla： 将所有的真实块使用一个switch case结构包裹起来，每个真实块执行完毕后都会重新赋值switch var，对于有分支的块会使用select指令，并跳转到switch起始代码块（分发器）上，根据switch var来执行下一个真实块。 Sub： 指令膨胀，将一条运算指令，替换为多条等价的运算指令。 Split： 利用随机数产生分割点，将一个基本块分割为两个，并使用绝对跳转连接起来。 关于ollvm具体的实现，可参考源码。 指令替换 -mllvm -sub 虚假控制流 -mllvm -bcf 控制流展平 -mllvm -fla 函数（Funtions）注解 还原思路 网上有很多还原ollvm的脚本，但是只能还原特征很明显的ollvm，或者说只是debug版的ollvm。在debug版中o ...