Int3rium/Interium
GitHub: Int3rium/Interium
Interium 是一款 C++ PE 文件混淆工具,通过干扰可执行文件的静态特征来提升隐蔽性。
Stars: 1 | Forks: 0
# Interium
一个我为自己编写的窃取器 [Kurion](https://discord.gg/p873k2Fy3) 开发的 PE 二进制文件混淆工具。它通过干扰 PE 元数据、导入表、节区等,使得可执行文件更难被特征码检测到。同时具备捆绑模式,可以将 exe 文件封装到一个混淆后的 `.cmd` 脚本中。
**注意:** 这个源代码有点老了,Kurion 已经不再使用它了。
## 功能说明
**加密模式**(默认)
- 清除 Rich 头、调试信息、时间戳
- 用标准内容替换 DOS stub
- 重命名打包器/保护器的节区名称 (`.UPX0` -> `.data`)
- 打乱导入描述符的顺序
- 伪造链接器版本以伪装成正常的 MSVC 输出
- 添加伪造的 Authenticode 证书覆盖层
- 重新计算 PE 校验和
**捆绑模式**
- 接收一个 exe 文件,对其进行 base64 编码,然后嵌入到一个 `.cmd` 脚本中
- PowerShell 解码后从 %TEMP% 目录提取并运行
- 批处理层混淆:随机变量、字符串原子化、垃圾注释、goto 代码流混乱
- 可选项:隐藏窗口、自删除、RTLO 文件名技巧
三种混淆等级:`low`、`mid`、`high`。每一级都在前一级的基础上进行堆叠。
## 构建
需要 CMake 3.16+ 和一个支持 C++17 的编译器。
**Linux**(构建 CLI 工具 + 使用 mingw 交叉编译 stub):
```
./build.sh
```
如果你没有 mingw-w64,它会跳过 stub 的构建。使用 `sudo apt install mingw-w64` 安装。
**Windows**(MSVC):
```
.\build.ps1
```
构建生成器和 stub 两个程序。
## 用法
```
# 基础:剥离元数据 + rich header
./interium --file malware.exe --level low
# 中级:同时打乱导入表并伪造 PE 特性
./interium --file malware.exe --level mid
# 高级:在所有层次之上添加伪造证书覆盖层
./interium --file malware.exe --level high --output clean.exe
# binder:将 exe 打包成混淆的 cmd 命令
./interium --mode binder --file payload.exe --level high --output loader.cmd
# 带有附加功能的 binder
./interium --mode binder --file payload.exe --level high --self-delete --hidden --rtlo
```
## AI 使用声明
部分内容是由 AI 编写的,因为我比较懒,不想去查资料:
- `crypto.cpp` 中的 **S-box / 逆 S-box 表**
- `transforms.cpp` 中的 **DOS stub 字节**,即标准的 “This program cannot be run in DOS mode” stub。我直接从 AI 输出中复制了字节序列。
- `pe.h` 中的 **PE 结构定义**,字段名称和偏移量来自 PE 规范,我只是让 AI 将其整理成 C++ 结构体,而不是从文档手动转录。
- `transforms.cpp` 中 `addOverlay()` 函数的 **ASN.1 头字节**,即伪造的 Authenticode 结构前缀。我知道它应该是什么样子,但没记住 OID 字节。
其他所有内容(实际逻辑、混淆策略、捆绑流程、批处理混淆引擎)都是我写的。AI 部分基本上就是参考数据,我本来也可以从文档/表格中复制,但选择不这样做。
## 限制
- 无法绕过任何进行行为分析或沙箱检测的防护 **这仅仅是静态级别的工具**
- 如果目标系统有像样的反病毒软件,捆绑模式的 PowerShell 提取部分会被 AMSI 检测到
- 伪造的证书覆盖层无法通过签名验证(显然),它只是为了填充二进制文件并迷惑静态分析器
- Stub 的手动映射器不处理异常目录或延迟加载导入
## 许可证
随便你怎么用。如果你用这个做了任何违法的事情,那是你自己的问题。
标签:base64编码, Bash脚本, C++编程, DNS 反向解析, DNS 解析, Kurion工具, PE文件操作, PowerShell利用, RTLO技巧, Windows可执行文件混淆, 中高交互蜜罐, 二进制保护, 二进制混淆, 云资产清单, 元数据修改, 加密器, 动态检测规避, 子域名变形, 安全意识培训, 导入混淆, 恶意软件开发, 恶意软件窃取器, 批处理脚本混淆, 校验和计算, 混淆器, 私有化部署, 绑定器, 脚本混淆, 自删除功能, 节重命名, 认证欺骗, 证书欺骗, 逆向工程, 链接器欺骗, 防御规避, 隐藏窗口