# MBA obfuscation

### Original code: create scramble1.c
```C
#include <stdio.h>
#include <stdint.h>
#include <inttypes.h>

uint64_t scramble(uint64_t x, uint64_t y)
{
    return (x | y) + (x ^ y);
}

int main()
{
    printf("Result %" PRIu64 "\n", scramble(1234, 5678));
    return 0;
}
```

In [1]:
# Original expression
# ---
# (x | y) + (x ^ y)

# MBA rewrite rules
# ---
# x | y -> x + (~x & y)
# x ^ y -> x + y - 2*(x & y)
# x + y -> (x | y) + (~x | y) - ~x

### MBA rewrite rules for XOR, OR and ADD

In [2]:
from z3 import *
x, y = BitVecs("x y", 64)

# OR
prove(x | y == x + (~x & y))

# XOR
prove(x ^ y == x + y - 2*(x & y))

# ADD
prove(x + y == (x | y) + (~x | y) - ~x)

proved
proved
proved


### Apply rewrite rules by modifying expression AST

We replace `x`, `y` by `L` and `R` indicating left and right operands of each operation.

Makes it easier to replace after that

In [3]:
mba_rewrite_or  = "x + (~x & y)".replace('x', 'L').replace('y', 'R')
mba_rewrite_xor = "x + y - 2*(x & y)".replace('x', 'L').replace('y', 'R')
mba_rewrite_add = "(x | y) + (~x | y) - ~x".replace('x', 'L').replace('y', 'R')

print(f"MBA REWRITE OR\n---\n{mba_rewrite_or}\n")
print(f"MBA REWRITE XOR\n---\n{mba_rewrite_xor}\n")
print(f"MBA REWRITE ADD\n---\n{mba_rewrite_add}\n")

MBA REWRITE OR
---
L + (~L & R)

MBA REWRITE XOR
---
L + R - 2*(L & R)

MBA REWRITE ADD
---
(L | R) + (~L | R) - ~L



In [4]:
import ast
import astunparse

simp = "(x | y) + (x ^ y)"
expr = ast.parse(simp, mode='eval')

print(ast.dump(expr, indent=4))

Expression(
    body=BinOp(
        left=BinOp(
            left=Name(id='x', ctx=Load()),
            op=BitOr(),
            right=Name(id='y', ctx=Load())),
        op=Add(),
        right=BinOp(
            left=Name(id='x', ctx=Load()),
            op=BitXor(),
            right=Name(id='y', ctx=Load()))))


In [5]:
def bottomUpBFS(node):
    q = []
    q.append(node)
    
    bin_ops = []
    
    while q:
        cur = q.pop(0)
            
        if hasattr(cur, 'left'):
            q.append(cur.left)

        if hasattr(cur, 'right'):
            q.append(cur.right)
            
        if isinstance(cur, ast.BinOp):
            bin_ops.append(cur)
        
    return bin_ops

In [6]:
def rewriteMBA(root):
    bin_ops = bottomUpBFS(root)

    while bin_ops:
        new = None
        cur = bin_ops.pop()
        L = astunparse.unparse(cur.left)[:-1]
        R = astunparse.unparse(cur.right)[:-1]

        if isinstance(cur.op, ast.BitOr):
            new = ast.parse(mba_rewrite_or.replace('L', L).replace('R', R), mode='eval').body

        if isinstance(cur.op, ast.BitXor):
            new = ast.parse(mba_rewrite_xor.replace('L', L).replace('R', R), mode='eval').body

        if isinstance(cur.op, ast.Add):
            new = ast.parse(mba_rewrite_add.replace('L', L).replace('R', R), mode='eval').body

        if new:
            cur.op = new.op
            cur.left = new.left
            cur.right = new.right
            
            # print(astunparse.unparse(expr))

### Create `scramble2.c` and put this expression. Compile and compare

In [7]:
rewriteMBA(expr.body)
print(astunparse.unparse(expr))

((((x + ((~ x) & y)) | ((x + y) - (2 * (x & y)))) + ((~ (x + ((~ x) & y))) | ((x + y) - (2 * (x & y))))) - (~ (x + ((~ x) & y))))



In [8]:
x, y = BitVecs("x y", 64)

simp_z3 = (x | y) + (x ^ y)
obf2_z3 = ((((x + ((~ x) & y)) | ((x + y) - (2 * (x & y)))) + ((~ (x + ((~ x) & y))) | ((x + y) - (2 * (x & y))))) - (~ (x + ((~ x) & y))))

# prove(simp_z3 == obf2_z3) # okay-ish

### Create `scramble3.c` and put this expression. Compile and compare

In [9]:
rewriteMBA(expr.body)
print(astunparse.unparse(expr))

((((((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))) | ((~ (x + ((~ x) & y))) + ((~ (~ (x + ((~ x) & y)))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y)))))) + ((~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y)))))) | ((~ (x + ((~ x) & y))) + ((~ (~ (x + ((~ x) & y)))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))))) - (~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))))) - (~ (x + ((~ x) & y))))



In [10]:
x, y = BitVecs("x y", 64)

simp_z3 = (x | y) + (x ^ y)
obf3_z3 = ((((((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))) | ((~ (x + ((~ x) & y))) + ((~ (~ (x + ((~ x) & y)))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y)))))) + ((~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y)))))) | ((~ (x + ((~ x) & y))) + ((~ (~ (x + ((~ x) & y)))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))))) - (~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))))) - (~ (x + ((~ x) & y))))

# prove(simp_z3 == obf3_z3) # oh no

### Create `scramble4.c` and put this expression. Compile and compare

In [11]:
rewriteMBA(expr.body)
print(astunparse.unparse(expr))

((((((((((((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (

In [12]:
x, y = BitVecs("x y", 64)

simp_z3 = (x | y) + (x ^ y)
obf4_z3 = ((((((((((((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)))) + ((~ ((((((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))))) & ((((~ (x + ((~ x) & y))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (~ (x + ((~ x) & y)))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (~ (x + ((~ x) & y))))))) | ((~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y)))))) + ((~ (~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))))) & ((((~ (x + ((~ x) & y))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (~ (x + ((~ x) & y)))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (~ (x + ((~ x) & y)))))))) + ((~ (((((((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)))) + ((~ ((((((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))))) & ((((~ (x + ((~ x) & y))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (~ (x + ((~ x) & y)))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (~ (x + ((~ x) & y)))))))) | ((~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y)))))) + ((~ (~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))))) & ((((~ (x + ((~ x) & y))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (~ (x + ((~ x) & y)))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (~ (x + ((~ x) & y))))))))) - (~ (((((((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)))) + ((~ ((((((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x)) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))) | ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (((((x + ((~ x) & ((~ x) & y))) | ((~ x) + ((~ (~ x)) & ((~ x) & y)))) + ((~ (x + ((~ x) & ((~ x) & y)))) | ((~ x) + ((~ (~ x)) & ((~ x) & y))))) - (~ (x + ((~ x) & ((~ x) & y))))) - (~ x))))) & ((((~ (x + ((~ x) & y))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y))))) + ((~ (~ (x + ((~ x) & y)))) | ((~ (~ (x + ((~ x) & y)))) & ((((((x + ((~ x) & y)) | ((~ x) + ((~ (~ x)) & y))) + ((~ (x + ((~ x) & y))) | ((~ x) + ((~ (~ x)) & y)))) - (~ (x + ((~ x) & y)))) - (~ x)) - (2 * (x & y)))))) - (~ (~ (x + ((~ x) & y))))))))) - (~ ((((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x)) + ((~ (((x | ((~ x) & y)) + ((~ x) | ((~ x) & y))) - (~ x))) & ((((x | y) + ((~ x) | y)) - (~ x)) - (2 * (x & y))))))) - (~ (x + ((~ x) & y))))

# prove(simp_z3 == obf3_z3) # good luck lol

# Symbolic execution

In [13]:
"""
Adapted from ~/msynth/scripts/symbolic_simplification.py
"""
from miasm.analysis.binary import Container
from miasm.analysis.machine import Machine
from miasm.core.locationdb import LocationDB
from miasm.ir.symbexec import SymbolicExecutionEngine

def getRaxExpr(file_path, start_addr):
    # symbol table
    loc_db = LocationDB()

    # open the binary for analysis
    container = Container.from_stream(open(file_path, 'rb'), loc_db)

    # cpu abstraction
    machine = Machine(container.arch)

    # init disassemble engine
    mdis = machine.dis_engine(container.bin_stream, loc_db=loc_db)

    # initialize intermediate representation
    lifter = machine.lifter_model_call(mdis.loc_db)

    # disassemble the function at address
    asm_block = mdis.dis_block(start_addr)

    # lift to Miasm IR
    ira_cfg = lifter.new_ircfg()
    lifter.add_asmblock_to_ircfg(asm_block, ira_cfg)

    # init symbolic execution engine
    sb = SymbolicExecutionEngine(lifter)

    # symbolically execute basic block
    sb.run_block_at(ira_cfg, start_addr)
    
    # return the expression of rax (return value)
    return sb.eval_exprid(lifter.arch.regs.RAX)

In [14]:
from miasm.ir.translators.z3_ir import TranslatorZ3
translator = TranslatorZ3()

In [15]:
file_path = "./scramble1"
addr = 0x1149

rax_scramble1 = getRaxExpr(file_path, addr)
print(f"RAX value:\n---\n{rax_scramble1}\n")

rax_scramble1_simp = simplify(translator.from_expr(rax_scramble1))
print(f"RAX SMT simplified:\n---\n{rax_scramble1_simp}\n")

RAX value:
---
(RDI ^ RSI) + (RDI | RSI)

RAX SMT simplified:
---
(RDI ^ RSI) + (RDI | RSI)



In [16]:
file_path = "./scramble2"
addr = 0x1149

rax_scramble2 = getRaxExpr(file_path, addr)
print(f"RAX value:\n---\n{rax_scramble2}\n")

rax_scramble2_simp = simplify(translator.from_expr(rax_scramble2))
print(f"RAX SMT simplified:\n---\n{rax_scramble2_simp}\n")

RAX value:
---
RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + ((RDI + RSI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE) | (RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)))) + ((RDI + RSI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE) | ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) ^ 0xFFFFFFFFFFFFFFFF)) + 0x1

RAX SMT simplified:
---
1 +
RDI +
~(~RSI | RDI) +
(RDI + RSI + 18446744073709551614*~(~RDI | ~RSI) |
 RDI + ~(~RSI | RDI)) +
(RDI + RSI + 18446744073709551614*~(~RDI | ~RSI) |
 ~(RDI + ~(~RSI | RDI)))



In [17]:
file_path = "./scramble3"
addr = 0x1149

rax_scramble3 = getRaxExpr(file_path, addr)
print(f"RAX value:\n---\n{rax_scramble3}\n")

rax_scramble3_simp = simplify(translator.from_expr(rax_scramble3))
print(f"RAX SMT simplified:\n---\n{rax_scramble3_simp}\n")

RAX value:
---
((RDI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE + (RDI | RSI) + (RSI | (RDI ^ 0xFFFFFFFFFFFFFFFF)) + 0x1) & ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) ^ 0xFFFFFFFFFFFFFFFF)) + RDI * 0x2 + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) * 0x2 + ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + ((RDI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE + (RDI | RSI) + (RSI | (RDI ^ 0xFFFFFFFFFFFFFFFF)) + 0x1) & ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) ^ 0xFFFFFFFFFFFFFFFF))) | (((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) & (RDI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE + (RDI | RSI) + (RSI | (RDI ^ 0xFFFFFFFFFFFFFFFF)) + 0x1)) + -RDI + -(RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + 0xFFFFFFFFFFFFFFFF)) + ((((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) & (RDI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE + (RDI | RSI) + (RSI | (RDI ^ 0xFFFFFFFFFFFFFFFF)) + 0x1)) + -RDI + -(RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + 0xFFFFFFFFFFFFFFFF) | ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + ((RDI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE + (RDI | RSI) + (RSI | (RD

In [18]:
file_path = "./scramble4"
addr = 0x1149

rax_scramble4 = getRaxExpr(file_path, addr)
print(f"RAX value:\n---\n{rax_scramble4}\n")

rax_scramble4_simp = simplify(translator.from_expr(rax_scramble4))
print(f"RAX SMT simplified:\n---\n{rax_scramble4_simp}\n")

RAX value:
---
((RDI + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE + (RDI | RSI) + (RSI | (RDI ^ 0xFFFFFFFFFFFFFFFF)) + 0x1) & ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) ^ 0xFFFFFFFFFFFFFFFF)) + ((RDI * 0xFFFFFFFFFFFFFFFE + -(RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + -((((RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + RDI * 0x2 + (RDI & RSI) * 0xFFFFFFFFFFFFFFFE + ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) | ((RDI & RSI) + -RDI + 0xFFFFFFFFFFFFFFFF)) + (((RDI & RSI) + -RDI + 0xFFFFFFFFFFFFFFFF) | ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) ^ 0xFFFFFFFFFFFFFFFF)) + 0x2) & ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) ^ 0xFFFFFFFFFFFFFFFF)) | ((RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + RDI * 0x2 + ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) | ((RDI & RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + -RDI + 0xFFFFFFFFFFFFFFFF)) + (((RDI & RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + -RDI + 0xFFFFFFFFFFFFFFFF) | ((RDI + (RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF))) ^ 0xFFFFFFFFFFFFFFFF)) + 0x2)) + -((((RSI & (RDI ^ 0xFFFFFFFFFFFFFFFF)) + RDI * 0x2 + (RDI 

# Program synthesis

In [None]:
from msynth import Simplifier
oracle_path = "/home/mbd/msynth/oracle.pickle"
simplifier = Simplifier(oracle_path)

In [None]:
rax_scramble1_simp = simplifier.simplify(rax_scramble1)
print(f"RAX after synthesis simplification:\n---\n{rax_scramble1_simp}\n")

In [None]:
rax_scramble2_simp = simplifier.simplify(rax_scramble2)
print(f"RAX after synthesis simplification:\n---\n{rax_scramble2_simp}\n")

In [None]:
rax_scramble3_simp = simplifier.simplify(rax_scramble3)
print(f"RAX after synthesis simplification:\n---\n{rax_scramble3_simp}\n")

In [None]:
rax_scramble4_simp = simplifier.simplify(rax_scramble4)
print(f"RAX after synthesis simplification:\n---\n{rax_scramble4_simp}\n")

# Beyond

- Generate MBA rewrite rules
- Generate pairs of inverse permutation polynomials
- Semantic correctness of synthesized candidate
- ...