探秘Shoggoth:一款创新的Polymorphic Encryptor工具
去发现同类优质开源项目:https://gitcode.com/
Shoggoth是一款基于C++和asmjit库构建的开源项目,专门用于对shellcode、PE和COFF文件进行多态加密。该项目由开发者frkngksl在深入研究动态指令生成、汇编实践和技术检测后创建,并已在BlackHat Europe 2022 Arsenal大会上展示。
项目介绍
Shoggoth的核心功能是生成一个加密后的输出文件,其中包含了混淆形式的payload和加载器。由于其内容位置独立,可以直接作为shellcode执行。在运行过程中,payload会自解密。此外,它还添加了无实际效果的“垃圾”指令来增加混淆度。
技术分析
-
代码生成: Shoggoth利用AsmJit库生成机器码,这是一个轻量级的C++库,支持X86、X86_64和AArch64架构的基础指令和最新扩展。AsmJit允许直接通过API调用来指定操作码、寄存器、立即数、标签调用和嵌入任意值到代码中的任何位置。
-
加载器: 包含预编译的PIC(位置无关代码)PE和COFF加载器,可以将PE或COFF文件转化为可执行的shellcode。这些加载器源码经过调整,以适应shellcode要求,例如删除全局变量,将字符串存储在栈中,以及在运行时解析并加载必要的DLL以获取API函数地址。
-
加密算法: 首先使用RC4流密码加密payload,然后使用随机生成的操作组合对载荷进行块加密。这种双层加密增强了安全性。
应用场景
- 安全与逆向工程: Shoggoth可用于开发逃避静态分析和动态行为检测的恶意软件,因为其产生的壳码难以被反病毒引擎识别。
- 教学与学习: 对于想深入了解代码生成、加密技术和汇编编程的学生或研究人员,Shoggoth提供了很好的实验平台。
项目特点
- 多态性: Shoggoth能够生成不同形态的加密数据,使得每次加密的结果都有所不同,增加了分析难度。
- 灵活的输入类型: 支持shellcode、PE和COFF文件,适应各种环境。
- 预编译的加载器: 提供了方便的PE和COFF加载器,无需额外编写代码即可实现shellcode化。
- 高级混淆技术: 使用垃圾指令和随机块加密提高混淆程度。
要尝试Shoggoth,只需遵循其命令行参数,包括输入文件、输出路径、加密模式等。对于有经验的开发者来说,源代码也开放供修改和定制。
最后,让我们记住这个名字的来源——Shoggoth,源于恐怖大师H.P. Lovecraft的小说,这个无形且不断变化的怪物象征着项目中变幻莫测的加密方式。
如果你想了解更多关于Shoggoth的信息,不妨直接探索其GitHub仓库,参与到这个激动人心的技术探索中去!
去发现同类优质开源项目:https://gitcode.com/