#1 楼
在http://www.intel-assembler.it/portale/5/linux-binary-code-protection/linux-binary-code-protection.asp上有一篇关于Linux二进制代码保护的不错的文章。如果您的目标是保护二进制Sentinel,则HASP支持Linux。
至于您提到的那些旧版本,它们中的大多数都不再起作用,精灵加密程序Shiva,Burneye等。 Windows中也使用了最常见的打包程序UPX。
评论
链接已死
– julian♦
5月4日18:46
#2 楼
ZVrba在cryptexec上的Phrack文章:下一代运行时二进制加密是一种很好的阅读方法,并且它不依赖于其他内核功能:不依赖的目标程序不依赖操作系统内核或处理器硬件的任何帮助。方法是在x86-32 GNU AS(AT&T语法)中实现的。一旦设计了control
方法,就可以立即添加
代码解密。
#3 楼
大多数现代ELF二进制文件都使用UPX或其变体进行保护。 1,2但是,在野外已经观察到了定制打包器,包括基于UPX和非基于UPX的定制打包器。UPX打包器最简单的变体用于通配符是“ LSD”打包程序,其中字符串“ UPX”更改为“ LSD”。这样的一个例子是用Go语言编写的XMR硬币采矿机,它针对运行Jenkins的系统。
mumblehard
自定义保护器-不基于UPX 整个包装机实际上包括大约200条组装说明。
另一个值得注意的观察:通过使用
int 80h
指令直接进行系统调用。它是用汇编语言编写的另一个提示是,函数没有通常的序言来管理堆栈。通过使用中断进行系统调用,Mumblehard ELF二进制文件避免了任何外部依赖性。此外,该打包程序可在Linux和BSD系统上运行。 1
样品:
20b567084bcc6bd5ac47b2ab450bbe838ec88fc726070eb6e61032753734d233
78c19897d08e35c0e50155c87f501e20f2d1dbfd38607fc8e12711d086d52204
84dfe2ac489ba41dfb25166a983ee2d664022bbcc01058c56a1b1de82f785a43
747d985d4bd302e974474dc9ab44cb1f60cb06206f3639c5d603db94395b877b
9512cd72e901d7df95ddbcdfc42cdb16141ff155e0cb0f8321069212e0cd67a8 <无线电通信/> a5915c3060f5891242514b7899975393ef3d3cb87b33b6a767cffce4feac215f
tiny XMR mooner
的一种变体根据r2con 2018演示使用自定义包装器。 8a0d9c84cfb86dd1f8c9acab87738d2cb82106aee0d88396f6fa86265ff252dd
md5sum来自演示文稿:
4f1fdacaee8e3c612c9ffbbe162042b2
注意此特定文件是“ Tiny XMR Mooner” Linux cryptominer恶意软件(sha256的总和是相同的),但在打包或任何其他形式的二进制保护分析中未提及。
带有自定义打包程序的
Tsunami
Malshare示例
f22ffc07e0cc907f00fd6a4ecee09fe8411225badb2289c1bffa867a2a3bd863(病毒总数)
pwning.fun曾经有一种分析方法,但看起来好像已经被删除了。 Linux恶意软件
暴露的现代Linux恶意软件
拆箱Linux / Mumblehard(2015)-ESET
评论
您也可以看看security.stackexchange.com的这个线程:二进制代码保护和反逆向工程的任何全面解决方案吗?它包括指向外部文章的链接和一些有价值的输入。有点过时了(2010-2011),但仍然有意义。这也与此问题有关。