报告概要翻译：OBFUSCATING C++ PROGRAMS VIA CONTROL FLOW FLATTENING

中文译名：通过扁平控制流的混淆的C ++程序

这篇文章写于2009年，作者是T. L ́aszl ́o 和 ́ A. Kiss，是一切Ollvm技术的初始，在不少博客和文章中均有提及。将顺序的流程变为利用switch-case这种分支判断的扁平运行，给软件逆向增加难度。目前看到最多的使用环境是加密Android的C++ NDK程序库。

OLLVM（Obfuscator-LLVM）是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个项目，该项目旨在提供一套开源的针对LLVM的代码混淆工具，以增加逆向工程的难度。

腾讯应急安全响应中心-利用符号执行去除控制流平坦化

看雪社区-控制流平坦化的实现

title

摘要

利用混淆技术保护 C++ 源代码，并在文章中给出一个能把程序复杂度提高5倍，且并不影响原有功能的技术原型方案。

实现平坦化的方法：将代码分成多个基本块（就是case代码块）和一个入口块，为每个基本块编号，并让这些基本块都有共同的前驱模块和后继模块。前驱模块主要是进行基本块的分发，分发通过改变switch变量来实现。后继模块也可用于更新switch变量的值，并跳转到switch开始处。

引用一下腾讯安全的图

Ollvm运行图

正文

混淆技术的要点在于：修改程序，使其逆向结果阅读困难，却不影响正常程序运行

最简单的混淆方式是布局转换（layout transformation）,去除符号表，注释与调试信息

另外一种方式是数据混淆：修改数据结构，修改变量的可见性重构数组

第三类是修改控制流转换算法，也就是本文的Ollvm

要实现这个目的，第一步需要把程序主体分解成块状，在每个块状后面设置条件转向（使用Switch语句）

效果图

而对于break,需要强行增加switch以提高拆分粒度。

while的解决方案

C++的try-catch异常处理机制也是难题，异常条件在不确定时间点的抛出也会影响程序的运行顺序。文章给的解决方案是用try-switch加goto的方案解决。把try包到最大的switch里头，没有异常就直接回到起始点，出现异常就跳出switch。

在C++语言上实现的难题

“breaking loops to basic blocks is not equal to simply splitting the head of the loop from its body”

像while, do 和 for这些循环操作，可能会发生错误，写在初始点的判断条件也要做出修改，而原本的switch分支也很难处理。就算这些语句不做额外处理，里面的break与continue也会造成麻烦。

对于switch分支，Duff给出的解决方案

Duff advice

运行流控制算法

用伪代码描述流程，查看规则如下

bold words mark the keywords of the used pseudo-language, 
the formalized parts are typeset in roman font, 
while the parts which are easier to explain in free text are in italic.
⊕ denotes string concatenation, while ⇒ outputs the result of the algorithm

直接上三张图，看看大佬的工作：对于不同的流程（for,switch,if,do）给出的拆分方案,一切都安排得明明白白

文章默认预设变量与函数主体分离，并在开始处完成初始化（这其实也是个大问题，受限于文章篇幅不多加讨论）