在http://www.intel-assembler.it/portale/5/linux-binary-code-protection/linux-binary-code-protection.asp上有一篇关于 Linux 二进制代码保护的好文章。

如果您的目标是保护您的二进制 Sentinel HASP 支持 Linux。

至于你提到的旧的，它们中的大多数不再工作了，elf-encrypter Shiva、Burneye 等。窗户也一样，UPX。

ZVrba 关于 cryptexec 的 Phrack 文章：下一代运行时二进制加密很好读，它不依赖于额外的内核功能：

本文介绍了一种控制目标程序的方法，该方法不依赖于操作系统内核或处理器硬件的任何帮助。该方法在 x86-32 GNU AS（AT&T 语法）中实现。一旦设计了控制方法，包括动态代码解密就相对简单了。

大多数现代 ELF 二进制文件都使用 UPX 或其变体进行保护。^1,2然而，在野外观察到了自定义加壳器，包括基于 UPX 和非基于 UPX 的自定义加壳器。

• 在野外使用的 UPX 加壳器的最简单变体是'LSD' 加壳器，其中字符串 'UPX' 更改为 'LSD'。这方面的一个例子是用 Go 编写的XMR 硬币矿工，它针对运行 Jenkins 的系统。

• mumblehard 自定义保护器 - 不基于 UPX

  整个打包机实际上由大约 200 条组装指令组成。另一个值得注意的观察结果：系统调用是通过使用int 80h指令直接进行的。它是用汇编编写的另一个提示是函数没有通常的序言来管理堆栈。通过使用中断进行系统调用，Mumblehard ELF 二进制文件避免了任何外部依赖。此外，该打包程序适用于 Linux 和 BSD 系统。¹

  样品：

  • 20b567084bcc6bd5ac47b2ab450bbe838ec88fc726070eb6e61032753734d233
  • 78c19897d08e35c0e50155c87f501e20f2d1dbfd38607fc8e12711d086d52204
  • 84dfe2ac489ba41dfb25166a983ee2d664022bbcc01058c56a1b1de82f785a43
  • 747d985d4bd302e974474dc9ab44cb1f60cb06206f3639c5d603db94395b877b
  • 9512cd72e901d7df95ddbcdfc42cdb16141ff155e0cb0f8321069212e0cd67a8
  • a5915c3060f5891242514b7899975393ef3d3cb87b33b6a767cffce4feac215f

• tiny XMR mooner根据 r2con 2018 演示Unpacking the Non-Unpackable使用自定义包装器的变体。

  • 8a0d9c84cfb86dd1f8c9acab87738d2cb82106aee0d88396f6fa86265ff252dd

  • 演示文稿中的 md5sum： 4f1fdacaee8e3c612c9ffbbe162042b2

    请注意，此特定文件是“Tiny XMR Mooner”Linux 加密矿工恶意软件（sha256 总和相同）的主题，但在此分析中未提及打包或任何其他形式的二进制保护。

• Tsunami 带定制包装机
  • Malshare 样本
  • f22ffc07e0cc907f00fd6a4ecee09fe8411225badb2289c1bffa867a2a3bd863（Virustotal）
  • pwning.fun上曾经有一个分析可用，但看起来它已被删除。

参考

1. 了解 Linux 恶意软件

2. 现代 Linux 恶意软件暴露

3. 拆箱 Linux/Mumblehard (2015) - ESET