Nino Isakovic 和 Chuong Dong 发表了一篇名为“LummaC2:通过间接控制流进行混淆”的博文。这篇博文深入探讨了对最近 LummaC2 (LUMMAC.V2) 窃取器样本所采用的控制流混淆技术的分析。除了旧版本中使用的传统控制流扁平化技术外,该恶意软件现在还利用定制的控制流间接寻址来操纵恶意软件的执行。这种技术阻碍了所有二进制分析工具,包括 IDA Pro 和 Ghidra,极大地阻碍了逆向工程过程以及旨在捕获执行工件和生成检测的自动化工具。为了向 Google 和 Mandiant 安全团队提供见解,作者开发了一种通过符号反向切片来自动删除此保护层的方案。通过利用恢复的控制流,他们可以重建样本并对其进行反混淆处理,使其成为任何静态二进制分析平台都能轻松使用的格式。我发现使用符号反向切片来删除此保护层特别有趣。这种方法在减轻控制流混淆技术的有效性方面非常有效。我相信这项研究对于希望增强其逆向工程能力的恶意软件分析师来说将非常有价值。