依星源码资源网,依星资源网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

【好消息,好消息,好消息】VIP会员可以发表文章赚积分啦 !
查看: 103|回复: 0

Arkari另一个基于 goron 的基于 llvm 的混淆器。

[复制链接] 主动推送

1万

主题

1万

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
12973
发表于 2024-11-12 18:13:28 | 显示全部楼层 |阅读模式
Arkari另一个基于 goron 的基于 llvm 的混淆器。
当前支持特性:
  • 混淆过程间相关
  • 间接跳转,并加密跳转目标(-mllvm -irobf-indbr)
  • 间接函数调用,并加密目标函数地址(-mllvm -irobf-icall)
  • 间接全局变量引用,并加密变量地址(-mllvm -irobf-indgv)
  • 字符串(c string)加密功能(-mllvm -irobf-cse)
  • 过程相关控制流平坦混淆(-mllvm -irobf-cff)
  • 整数常量加密(-mllvm -irobf-cie) (Win64-MT-19.1.3-obf1.6.0 or later)
  • 浮点常量加密(-mllvm -irobf-cfe) (Win64-MT-19.1.3-obf1.6.0 or later)
  • 全部 (-mllvm -irobf-indbr -mllvm -irobf-icall -mllvm -irobf-indgv -mllvm -irobf-cse -mllvm -irobf-cff -mllvm -irobf-cie -mllvm -irobf-cfe)
对比于goron的改进:
  • 由于作者明确表示暂时(至少几万年吧)不会跟进llvm版本和不会继续更新.
  • 更新了llvm版本
  • 编译时输出文件名, 防止憋死强迫症
  • 修复了亿点点已知的bug
- 修复了混淆后SEH爆炸的问题
- 修复了dll导入的全局变量会被混淆导致丢失__impl前缀的问题
- 修复了某些情况下配合llvm2019(2022)插件会导致参数重复添加无法编译的问题
- 修复了x86间接调用炸堆栈的问题
- ...

编译
  • Windows(use Ninja, Ninja YYDS):
  1. install ninja in your PATH
  2. run x64(86) Native Tools Command Prompt for VS 2022(xx)
  3. run:

  4. mkdir build_ninja
  5. cd build_ninja
  6. cmake -DCMAKE_CXX_FLAGS="/utf-8" -DCMAKE_INSTALL_PREFIX="./install" -DCMAKE_MSVC_RUNTIME_LIBRARY=MultiThreaded -DCMAKE_BUILD_TYPE=Release -DLLVM_ENABLE_PROJECTS="clang;lld;lldb" -G "Ninja" ../llvm
  7. ninja
  8. ninja install
复制代码
使用
可通过编译选项开启相应混淆,如启用间接跳转混淆:
  1. $ path_to_the/build/bin/clang -mllvm -irobf -mllvm --irobf-indbr test.c
复制代码
对于使用autotools的工程:
  1. $ CC=path_to_the/build/bin/clang or CXX=path_to_the/build/bin/clang
  2. $ CFLAGS+="-mllvm -irobf -mllvm --irobf-indbr" or CXXFLAGS+="-mllvm -irobf -mllvm --irobf-indbr" (or any other obfuscation-related flags)
  3. $ ./configure
  4. $ make
复制代码
可以通过annotate对特定函数开启/关闭指定混淆选项:
(Win64-19.1.0-rc3-obf1.5.0-rc2 or later)
annotate的优先级永远高于命令行参数
+flag 表示在当前函数启用某功能, -flag 表示在当前函数禁用某功能
字符串加密基于LLVM Module,所以必须在编译选项中加入字符串加密选项,否则不会开启
可用的annotate flag:
  • fla
  • icall
  • indbr
  • indgv
  • cie
  • cfe
  1. //fla表示编译选项中的cff

  2. [[clang::annotate("-fla -icall")]]
  3. int foo(auto a, auto b) {
  4.     return a + b;
  5. }

  6. [[clang::annotate("+indbr +icall")]]
  7. int main(int argc, char** argv) {
  8.     foo(1, 2);
  9.     std::printf("hello clang\n");
  10.     return 0;
  11. }
  12. // 当然如果你不嫌麻烦也可以用 __attribute((__annotate__(("+indbr"))))
复制代码
如果你不希望对整个程序都启用Pass,那么你可以在编译命令行参数中只添加 -mllvm -irobf ,然后使用 annotate 控制需要混淆的函数,仅开启 -irobf 不使用 annotate 不会运行任何混淆Pass
当然,不添加任何混淆命令行参数的情况下,仅使用 annotate 也不会启用任何Pass
你不能同时开启和关闭某个混淆参数! 当然以下情况会报错:
  1. [[clang::annotate("-fla +fla")]]
  2. int fool(auto a, auto b){
  3.     return a + b;
  4. }
复制代码
可以使用下列几种方法之一单独控制某个混淆Pass的强度
(Win64-19.1.0-rc3-obf1.5.1-rc5 or later)
如果不指定强度则默认强度为0,annotate的优先级永远高于命令行参数
可用的Pass:
  • icall (强度范围: 0-3)
  • indbr (强度范围: 0-3)
  • indgv (强度范围: 0-3)
  • cie (强度范围: 0-3)
  • cfe (强度范围: 0-3)
1.通过annotate对特定函数指定混淆强度:
^flag=1 表示当前函数设置某功能强度等级(此处为1)
  1. //^icall=表示指定icall的强度
  2. //+icall表示当前函数启用icall混淆, 如果你在命令行中启用了icall则无需添加+icall

  3. [[clang::annotate("+icall ^icall=3")]]
  4. int main() {
  5.     std::cout << "HelloWorld" << std::endl;
  6.     return 0;
  7. }
复制代码
2.通过命令行参数指定特定混淆Pass的强度
Eg.间接函数调用,并加密目标函数地址,强度设置为3(-mllvm -irobf-icall -mllvm -level-icall=3)

附件中为源码。

游客,本帖隐藏的内容需要积分高于 2 才可浏览,您当前积分为 0
提取码下载:
文件名称:提取码下载.txt 
下载次数:0  文件大小:17 Bytes  售价:99金钱 [记录]
下载权限: 不限 [购买VIP]   [充值]   [在线充值]   【VIP会员6折;永久VIP4折】
安全检测,请放心下载








相关帖子

扫码关注微信公众号,及时获取最新资源信息!下载附件优惠VIP会员5折;永久VIP免费
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明:
1、本站提供的所有资源仅供参考学习使用,版权归原著所有,禁止下载本站资源参与商业和非法行为,请在24小时之内自行删除!
2、本站所有内容均由互联网收集整理、网友上传,并且以计算机技术研究交流为目的,仅供大家参考、学习,请勿任何商业目的与商业用途。
3、若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。
4、论坛的所有内容都不保证其准确性,完整性,有效性,由于源码具有复制性,一经售出,概不退换。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
5、用户使用本网站必须遵守适用的法律法规,对于用户违法使用本站非法运营而引起的一切责任,由用户自行承担
6、本站所有资源来自互联网转载,版权归原著所有,用户访问和使用本站的条件是必须接受本站“免责声明”,如果不遵守,请勿访问或使用本网站
7、本站使用者因为违反本声明的规定而触犯中华人民共和国法律的,一切后果自己负责,本站不承担任何责任。
8、凡以任何方式登陆本网站或直接、间接使用本网站资料者,视为自愿接受本网站声明的约束。
9、本站以《2013 中华人民共和国计算机软件保护条例》第二章 “软件著作权” 第十七条为原则:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。若有学员需要商用本站资源,请务必联系版权方购买正版授权!
10、本网站如无意中侵犯了某个企业或个人的知识产权,请来信【站长信箱312337667@qq.com】告之,本站将立即删除。
郑重声明:
本站所有资源仅供用户本地电脑学习源代码的内含设计思想和原理,禁止任何其他用途!
本站所有资源、教程来自互联网转载,仅供学习交流,不得商业运营资源,不确保资源完整性,图片和资源仅供参考,不提供任何技术服务。
本站资源仅供本地编辑研究学习参考,禁止未经资源商正版授权参与任何商业行为,违法行为!如需商业请购买各资源商正版授权
本站仅收集资源,提供用户自学研究使用,本站不存在私自接受协助用户架设游戏或资源,非法运营资源行为。
 
在线客服
点击这里给我发消息 点击这里给我发消息 点击这里给我发消息
售前咨询热线
312337667

微信扫一扫,私享最新原创实用干货

QQ|免责声明|小黑屋|依星资源网 ( 鲁ICP备2021043233号-3 )|网站地图

GMT+8, 2024-12-27 23:35

Powered by Net188.com X3.4

邮箱:312337667@qq.com 客服QQ:312337667(工作时间:9:00~21:00)

快速回复 返回顶部 返回列表