Arkari另一个基于 goron 的基于 llvm 的混淆器。

源码资源网

Arkari另一个基于 goron 的基于 llvm 的混淆器。

当前支持特性：

• 混淆过程间相关
• 间接跳转,并加密跳转目标(-mllvm -irobf-indbr)
• 间接函数调用,并加密目标函数地址(-mllvm -irobf-icall)
• 间接全局变量引用,并加密变量地址(-mllvm -irobf-indgv)
• 字符串(c string)加密功能(-mllvm -irobf-cse)
• 过程相关控制流平坦混淆(-mllvm -irobf-cff)
• 整数常量加密(-mllvm -irobf-cie) (Win64-MT-19.1.3-obf1.6.0 or later)
• 浮点常量加密(-mllvm -irobf-cfe) (Win64-MT-19.1.3-obf1.6.0 or later)
• 全部 (-mllvm -irobf-indbr -mllvm -irobf-icall -mllvm -irobf-indgv -mllvm -irobf-cse -mllvm -irobf-cff -mllvm -irobf-cie -mllvm -irobf-cfe)
  

对比于goron的改进：

• 由于作者明确表示暂时(至少几万年吧)不会跟进llvm版本和不会继续更新.
• 更新了llvm版本
• 编译时输出文件名, 防止憋死强迫症
• 修复了亿点点已知的bug
  

- 修复了混淆后SEH爆炸的问题
- 修复了dll导入的全局变量会被混淆导致丢失__impl前缀的问题
- 修复了某些情况下配合llvm2019(2022)插件会导致参数重复添加无法编译的问题
- 修复了x86间接调用炸堆栈的问题
- ...

编译

• Windows(use Ninja, Ninja YYDS):
  

1. install ninja in your PATH
   
2. run x64(86) Native Tools Command Prompt for VS 2022(xx)
   
3. run:
   
4. 
   
5. mkdir build_ninja
   
6. cd build_ninja
   
7. cmake -DCMAKE_CXX_FLAGS="/utf-8" -DCMAKE_INSTALL_PREFIX="./install" -DCMAKE_MSVC_RUNTIME_LIBRARY=MultiThreaded -DCMAKE_BUILD_TYPE=Release -DLLVM_ENABLE_PROJECTS="clang;lld;lldb" -G "Ninja" ../llvm
   
8. ninja
   
9. ninja install
   

复制代码

使用

可通过编译选项开启相应混淆，如启用间接跳转混淆：

1. $ path_to_the/build/bin/clang -mllvm -irobf -mllvm --irobf-indbr test.c

复制代码

对于使用autotools的工程：

1. $ CC=path_to_the/build/bin/clang or CXX=path_to_the/build/bin/clang
   
2. $ CFLAGS+="-mllvm -irobf -mllvm --irobf-indbr" or CXXFLAGS+="-mllvm -irobf -mllvm --irobf-indbr" (or any other obfuscation-related flags)
   
3. $ ./configure
   
4. $ make

复制代码

可以通过annotate对特定函数开启/关闭指定混淆选项：

(Win64-19.1.0-rc3-obf1.5.0-rc2 or later)

annotate的优先级永远高于命令行参数

+flag 表示在当前函数启用某功能, -flag 表示在当前函数禁用某功能

字符串加密基于LLVM Module，所以必须在编译选项中加入字符串加密选项，否则不会开启

可用的annotate flag:

• fla
• icall
• indbr
• indgv
• cie
• cfe
  

1. //fla表示编译选项中的cff
   
2. 
   
3. [[clang::annotate("-fla -icall")]]
   
4. int foo(auto a, auto b) {
   
5.     return a + b;
   
6. }
   
7. 
   
8. [[clang::annotate("+indbr +icall")]]
   
9. int main(int argc, char** argv) {
   
10.     foo(1, 2);
    
11.     std::printf("hello clang\n");
    
12.     return 0;
    
13. }
    
14. // 当然如果你不嫌麻烦也可以用 __attribute((__annotate__(("+indbr"))))

复制代码

如果你不希望对整个程序都启用Pass，那么你可以在编译命令行参数中只添加 -mllvm -irobf ，然后使用 annotate 控制需要混淆的函数，仅开启 -irobf 不使用 annotate 不会运行任何混淆Pass

当然，不添加任何混淆命令行参数的情况下，仅使用 annotate 也不会启用任何Pass

你不能同时开启和关闭某个混淆参数！ 当然以下情况会报错：

1. [[clang::annotate("-fla +fla")]]
   
2. int fool(auto a, auto b){
   
3.     return a + b;
   
4. }

复制代码

可以使用下列几种方法之一单独控制某个混淆Pass的强度

(Win64-19.1.0-rc3-obf1.5.1-rc5 or later)

如果不指定强度则默认强度为0，annotate的优先级永远高于命令行参数

可用的Pass:

• icall (强度范围: 0-3)
• indbr (强度范围: 0-3)
• indgv (强度范围: 0-3)
• cie (强度范围: 0-3)
• cfe (强度范围: 0-3)
  

1.通过annotate对特定函数指定混淆强度：

^flag=1 表示当前函数设置某功能强度等级(此处为1)

1. //^icall=表示指定icall的强度
   
2. //+icall表示当前函数启用icall混淆, 如果你在命令行中启用了icall则无需添加+icall
   
3. 
   
4. [[clang::annotate("+icall ^icall=3")]]
   
5. int main() {
   
6.     std::cout << "HelloWorld" << std::endl;
   
7.     return 0;
   
8. }

复制代码

2.通过命令行参数指定特定混淆Pass的强度

Eg.间接函数调用,并加密目标函数地址,强度设置为3(-mllvm -irobf-icall -mllvm -level-icall=3)

附件中为源码。

游客，本帖隐藏的内容需要积分高于 2 才可浏览，您当前积分为 0

提取码下载：

文件名称:提取码下载.txt 
下载次数:0  文件大小:17 Bytes  售价:99金钱 [记录]
下载权限: 不限 [购买VIP]   [充值]   [在线充值]   【VIP会员5折；永久VIP免费】

安全检测，请放心下载