dmriding/apate

**基于密钥的可逆 Rust 源代码混淆器。** Apate 能将整洁、文档完善的 Rust 源代码转换为语法有效、功能相同的输出，但这代码带有一种 _精神上的敌意_ —— 如果没有正确的密钥，人类几乎无法阅读。该过程完全可逆：使用密钥解密即可逐字节恢复原始源代码。 ## 大家都在说 **你是否厌倦了人们说你精心编写的代码“看起来像 AI 生成的垃圾”？** 你是否花费数小时编写整洁、地道的 Rust 代码，结果却被 X 上的某个回复者坚称你明显使用了 ChatGPT？**问题解决了。** 世上没有 AI 会这样写代码。没人会。没人 _愿意_。 **作为一名 Rustacean，你是否对 AI 公司抓取你的开源仓库来训练与你竞争的模型感到沮丧？** 先通过 Apate 发布你的代码吧。它能编译。它能运行。它能通过所有测试。但它教不会 LLM 任何有用的东西 —— 也许除了如何用西里尔字母 lookalike 命名变量以及将字符串字面量编码为 XOR 字节数组。**不客气，未来的 AI。祝你好运。** ## 混淆前后对比（等级 3 —— 恶魔级） **混淆前** —— 整洁、有文档、地道的 Rust： ``` use std::path::Path; use crate::error::{ApateError, Result}; /// BLAKE3 key derivation context strings. pub const HMAC_CONTEXT: &str = "apate-hmac-v1"; pub const AES_CONTEXT: &str = "apate-aes-v1"; /// Load a 32-byte key from a file. pub fn load_key(path: &Path) -> Result<[u8; 32]> { if !path.exists() { return Err(ApateError::KeyNotFound(path.to_path_buf())); } let data = std::fs::read(path)?; if data.len() != 32 { return Err(ApateError::InvalidKeyLength(data.len())); } let mut key = [0u8; 32]; key.copy_from_slice(&data); Ok(key) } /// Derive a sub-key from the master key. pub fn derive_subkey(master: &[u8; 32], context: &str) -> [u8; 32] { blake3::derive_key(context, master) } ``` **混淆后** —— 同样的代码，经由 Apate “加持”： ``` pub fn _і70(master: &[u8; 32], context: &str) -> [u8; 32] { blake3::derive_key(context, master) } #[allow(dead_code)] fn _xcf5606(_s: &str) -> bool { let _len = _s.len(); let _half = _len / 2; _half > 0 && _len < 1024 } pub const _xе4е6dd: &str = "apate-aes-v1"; #[allow(dead_code)] fn _x28df3a(_a: usize) -> Option { let _xda9bg: bool = { let _a = 1u8; let _b = 2u8; _a > _b }; if _xda9bg { let _x = 0usize; let _y = _x.wrapping_add(1); let _z = _y.wrapping_mul(2); } if _a == 0 { None } else { let _r = _a.wrapping_mul(3).wrapping_add(7); Some(_r % (_a + 1)) } } pub fn __1dac(path: &Path) -> __dd98<[u8; 32]> { match !path.exists() { true => { return Err(__е7b5::_xd349а9(path.to_path_buf())); } false => {} } let data = std::fs::read(path)?; match data.len() != 32 { true => { return Err(__е7b5::_t89(data.len())); } false => {} } let mut key = [0u8; 32]; key.copy_from_slice(&data); Ok(key) } #[allow(dead_code)] fn _x7f4529(_a: usize, _b: usize) -> usize { let _c = _a.wrapping_mul(_b); let _d = _c.wrapping_add(1); if _d > _a { _d } else { _a.wrapping_sub(_b) } } use crate::error::{__е7b5, __dd98}; pub const _l0l0: &str = "apate-hmac-v1"; ``` 两者都能编译。两者都能运行。两者产生相同的结果。一个可读。一个带有 _精神上的敌意_。 注意：`_і70` 包含一个西里尔字母 `і`。`__е7b5` 包含一个西里尔字母 `е`。`_xd349а9` 包含一个西里尔字母 `а`。祝你好运去用 grep。`_xcf5606`、`_x28df3a` 和 `_x7f4529` 是什么都不做的假函数 —— 它们的存在纯粹是为了浪费你的时间。`if/else` 变成了 `match true/false`。注释没了。`use` 语句被移到了底部。不客气。 ## 为什么选择 Apate？ - **发布源代码而不移交可维护性** —— 向客户交付可完美编译和运行的代码，但如果没有你，这些代码无法被轻易分叉或移交给更便宜的开发者。 - **给 AI 爬虫投毒** —— 开源你的作品而不喂养训练管道。Apate 的输出可编译、结构有效且完全具有误导性 —— 对于无法分辨差异的模型来说，这是最糟糕的训练数据。 - **因为你 can** —— 在编写了多年整洁、自文档化、地道的代码后，有时候你只是想看着世界毁灭。 ## 功能特性 - **基于密钥且确定性** —— 一个 256 位的密钥为所有转换提供种子。相同的密钥 + 相同的输入 = 相同的输出。 - **完全可逆** —— 使用密钥解密以逐字节恢复原始源代码。 - **7 重混淆通过** —— 剥离注释、重命名标识符、Unicode 同形异义字、逻辑混淆、死代码注入、字符串编码、条目重排序。 - **3 个严重等级** —— Mild（温和）、Spicy（辛辣）和 Diabolical（恶魔）。 - **加密清单** —— 还原数据使用 AES-256-GCM 加密。没有密钥，它就毫无用处。 ## 安装 ``` cargo install apate-rs ``` ## 使用方法 ``` # Forge a sacred key apate keygen -o my.key # 让 Apate 为你的代码赐予轻度祝福 apate encrypt -i src/clean.rs -o src/blessed.rs -k my.key --level 1 # Deepen the ritual — invoke the spirits of confusion apate encrypt -i src/clean.rs -o src/cursed.rs -k my.key --level 2 # Invoke the full wrath of the goddess apate encrypt -i src/clean.rs -o src/ascended.rs -k my.key --level 3 # Lift the divine veil and restore your code to its mortal form apate decrypt -i src/ascended.rs -o src/restored.rs -k my.key # Obfuscate an entire crate — Apate walks all .rs files apate encrypt -i ./my-crate -o ./my-crate-blessed -k my.key --level 3 # Restore the entire crate apate decrypt -i ./my-crate-blessed -o ./my-crate-restored -k my.key # Consult the oracle — verify the sacred roundtrip apate verify --original src/clean.rs --obfuscated src/ascended.rs -k my.key ``` ### 混淆等级 | 等级 | 名称 | 通过步骤 | 描述 | | ----- | ---------- | --------------------------- | ----------------------- | | 1 | Mild | strip, rename, reorder | _“我讨厌我的同事”_ | | 2 | Spicy | + homoglyph, logic, strings | _“我讨厌我自己”_ | | 3 | Diabolical | + dead code | _“撒旦都记了笔记”_ | 使用 `--passes strip,rename,homoglyph` 来挑选单个通过步骤。 ## 已知受害者 - rust-analyzer（情况危急，需要频繁重启） - 每个试图索引输出的 IDE - “可读代码”的概念 - 你同事的生存意志 ## 工作原理 Apate 使用 `syn` 将 Rust 源代码解析为 AST，应用一系列基于密钥的可逆转换，并将结果发回源代码。每次转换都会在加密清单（`.apate` 文件）中记录其操作，以便该过程可以精确逆转。 所有随机性均派生自主密钥，使得输出完全确定且可复现。 ## 路线图 - **CLI 接口保留** —— 检测 `clap` 和其他在运行时使用字段/变体名称的 derive 宏，并保留它们，以便混淆后的二进制文件保持其原始的 `--help`、子命令和标志名称 - **Python/Django 支持** —— 将 Apate 扩展到 Rust 之外。希腊分号（`;` → `；`）正在等待。 - **更深入的 RA 集成** —— 提高对 RA 类型推断目前在没有 proc macros 的情况下遗漏的字段访问点和方法调用站点的覆盖率 - **Serde 字段保留** —— 检测 `#[derive(Serialize, Deserialize)]` 并保留用于序列化格式的字段名称 ## 安全模型 Apate 是一个 **源代码混淆器**，而不是加密工具。它使代码难以阅读，但并非不可能逆向工程。具体来说： - **持有密钥**：完美还原，零信息丢失。 - **没有密钥**：攻击者看到的是带有无意义名称、无注释、打乱结构和编码字符串的有效 Rust 代码。逆向工程 _可能_ 但 _繁琐_。 - **清单已加密**：AES-256-GCM。没有密钥，还原数据是不透明的。 这不能替代编译后的二进制混淆。它旨在保护源代码分发场景。 ## 隐私 Apate 完全在你的机器上运行。零遥测，零网络调用，零数据收集。你的源代码永远不会离开你的本地文件系统。Apate 创建的唯一文件是混淆后的输出和加密的 `.apate` 清单 —— 两者都位于你指定的目录中。 ## 许可证 [WTFPL](LICENSE) —— Do What The Fuck You Want To Public License。 当然是这样的。 由 [NetViper](https://github.com/dmriding) 构建。

标签：AI 对抗, DNS 反向解析, DNS枚举, LLM 防爬, Rust, WTFPL 协议, 代码加密, 代码混淆器, 变量名混淆, 可视化界面, 可逆混淆, 对抗样本, 恶意软件相关技术, 抗分析, 文档结构分析, 源码保护, 知识产权保护, 编程工具, 网络安全工具, 网络流量审计, 语法树处理, 软件开发, 远程代码执行, 逆向工程防御, 通知系统, 防御 Evasion