使 GPG 加密文件看起来像二进制可执行文件

您可以将有效负载完全嵌入到工作可执行文件中。

echo "I am your encrypted message." > message.txt
gpg2 --symmetric message.txt
ld -r -b binary -o message.o message.txt.gpg
gcc -o unsuspicious unsuspicious.c message.o

包含unsuspicious.c任何程序：

#include <stdio.h>
int main(int argc, char** argv) {
    printf("Hi. I am a totally unsuspicious executable.\n");
}

使用这种技术，有效载荷将最终出现在二进制文件的 .data 部分中。要检索它，请提取整个数据部分：

objcopy --dump-section .data=data.bin unsuspicious

其他一些数据在我的 104 字节有效载荷之前。我曾经nm unsuspicious确定 和 之间的确切差异__data_start，_binary_message_txt_gpg_start在我的例子中是 16 个字节。知道了这一点，我可以检索有效负载：

dd if=data.bin skip=16 bs=1 count=104 of=message.txt.gpg

这是否是您目标的有效实现取决于您是否考虑nm,objcopy和dd“标准实用程序”。当然，您始终可以向程序本身添加一些逻辑，以便在询问得当时打印有效负载。

重点是什么？只需制作一个嵌入文件的可执行文件。

ld --format=binary archive.tgz.gpg executable_file

会给你一些实际上是 ELF 可执行文件的东西。它不会运行（没有_start可以执行的符号）。

如果你想要，编写一个带有main函数的 C/C++/... 程序，例如 main.c int main(){}，然后使用构建包含数据的目标文件ld --relocatable --format=binary archive.tgz.gpg mixin.o，最后与你的程序一起构建gcc main.c mixin.o -o main。

您可以相当简单地取出数据，并且可以使用相当标准的 binutils 工具readelf或objcopy. 更简单的是，您可以让程序仅在满足特定条件时才将内容提取到文件中。（例如检查某个字符串是否在 中environ）

现在，任何专家都不会被这一点所迷惑——您的嵌入式存档具有很高的经验熵radare2，并且无论您做什么混淆，诸如二进制分析工具之类的都会检测到这一点。

您可以做的是通过例如将密文的每个字节映射到来自现实世界的一组典型机器代码摘录（甚至不一定是恒定长度，但无前缀）的不同成员来人为地扩大加密档案的大小C 程序。但是，您必须对其进行去映射——这将需要您的字典，并且仅使用标准工具会变得相当烦人。