利用LLVM解释器执行代码的技术分析与教学文档<\/h1>

1. 技术概述<\/h2>

LLVM工具链中的lli.exe<\/code>可以执行中间bitcode文件，通过这一方法在目标环境执行代码，能够绕过Windows Defender检测。这种技术类似于：<\/p>


.NET代码转换为CIL在内存中编译执行<\/li>
Python代码通过解释器执行<\/li>
JAVA代码通过JVM虚拟机执行<\/li>
如今C代码也可以转换为LLVM IR语言解释执行<\/li>
<\/ul>
2. LLVM工具链基础<\/h2>
2.1 LLVM与Clang<\/h3>
LLVM是一套编译器基础设施项目，包含模块化的编译器组件和工具链：<\/p>

以C++编写<\/li>
包含编译器前端和后端<\/li>
编译流程：C\/C++代码 → LLVM IR → MachineCode(x86、ARM...)<\/li>
<\/ul>
Clang是基于LLVM的编译器前端工具：<\/p>

解析C\/C++代码<\/li>
转换为LLVM中间语言IR<\/li>
通过不同编译器后端生成可执行代码<\/li>
<\/ul>
2.2 工具获取<\/h3>
获取方式：<\/p>

自行编译LLVM源码<\/li>
从LLVM官方发布页<\/a>下载

注意下载包含lli.exe<\/code>的版本：clang+llvm-18.1.8-x86_64-pc-windows-msvc.tar.xz<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3. 基本使用方法<\/h2>
3.1 常规编译<\/h3>
使用clang-cl<\/code>(适配MSVC的版本)编译C++文件为可执行文件：<\/p>
clang-cl helloworld.cpp -o hello.exe
<\/span><\/span><\/code><\/pre>3.2 生成LLVM IR bitcode<\/h3>
生成bitcode文件：<\/p>
clang -emit-llvm -c helloworld.cpp -o helloworld.bc
<\/span><\/span><\/code><\/pre>生成可读的LLVM IR文件：<\/p>
clang -emit-llvm -S helloworld.cpp -o helloworld.ll
<\/span><\/span><\/code><\/pre>注意：.ll<\/code>文件会暴露源码信息，.bc<\/code>是二进制格式更隐蔽<\/p>
3.3 执行bitcode<\/h3>
使用lli.exe<\/code>执行bitcode文件：<\/p>
lli helloworld.bc
<\/span><\/span><\/code><\/pre>4. 免杀技术实现<\/h2>
4.1 执行弹计算器shellcode<\/h3>

生成常规可执行文件：<\/li>
<\/ol>
clang-cl shellcode_calc.cpp -o shellcode_calc.exe
<\/span><\/span><\/code><\/pre>
会被Windows Defender检测删除<\/li>
<\/ul>

生成并执行bitcode版本：<\/li>
<\/ol>
clang -emit-llvm -c shellcode_calc.cpp -o shellcode_calc.bc
<\/span><\/span>lli.exe shellcode_calc.bc
<\/span><\/span><\/code><\/pre>
可以绕过Windows Defender执行<\/li>
<\/ul>
4.2 执行回连shellcode<\/h3>
同样方法可以执行reverse_tcp等回连shellcode，成功绕过防护。<\/p>
5. 技术原理分析<\/h2>
5.1 执行流程<\/h3>

lli.exe<\/code>使用RtlAllocateHeap<\/code>在自身进程空间分配内存<\/li>
通过memmove<\/code>将bitcode转换的本机代码移动到分配的内存<\/li>
调用该内存中的代码执行<\/li>
<\/ol>
5.2 内存布局<\/h3>
调试观察到的内存情况：<\/p>

245B0DA0000<\/code>：堆内存，有执行权限，包含转换后的汇编代码<\/li>
245B0DB0000<\/code>：shellcode，只读<\/li>
245B0DC0000<\/code>：通过VirtualAlloc<\/code>分配的RWX权限内存，包含shellcode<\/li>
<\/ul>
5.3 API调用特点<\/h3>

不直接调用Kernel32中的函数<\/li>
调用KernelBase中的API（如CreateThread<\/code>）<\/li>
最终通过ntdll<\/code>中的函数（如RtlFreeHeap<\/code>）进行内存管理<\/li>
<\/ul>
6. 高级应用与思考<\/h2>
6.1 隐蔽性优化<\/h3>
问题：<\/p>

lli.exe<\/code>文件较大(24MB)，在目标环境较明显<\/li>
<\/ul>
解决方案：<\/p>

将文件打包到MSI安装程序中<\/li>
自行修改lli.exe<\/code>源码，去除多余功能，编译精简版本<\/li>
<\/ol>
6.2 签名问题<\/h3>
现状：<\/p>

LLVM官方发布的版本无数字签名<\/li>
VS2019\/2022提供的LLVM工具链有微软签名但不包含lli.exe<\/code><\/li>
MSYS2、Anaconda等工具管理包也不提供带签名的lli.exe<\/code><\/li>
<\/ul>
6.3 其他语言<\/h3>
Rust语言也基于LLVM，理论上可能具备类似特性。<\/p>
7. 防御建议<\/h2>
检测方法：<\/p>

监控是否存在可疑的lli<\/code>工具被执行<\/li>
关注异常的bitcode文件执行行为<\/li>
<\/ul>
8. 完整示例流程<\/h2>
8.1 生成bitcode<\/h3>
clang -emit-llvm -c your_code.cpp -o your_code.bc
<\/span><\/span><\/code><\/pre>8.2 执行bitcode<\/h3>
lli.exe your_code.bc
<\/span><\/span><\/code><\/pre>8.3 打包分发<\/h3>
将lli.exe<\/code>和.bc<\/code>文件打包到安装程序或其他载体中。<\/p>
9. 注意事项<\/h2>

确保使用正确版本的LLVM工具链<\/li>
测试目标环境的兼容性<\/li>
考虑文件大小和隐蔽性问题<\/li>
不同Windows版本可能有不同的检测机制<\/li>
<\/ol>
通过这种技术，攻击者可以在目标系统上隐蔽地执行恶意代码，同时绕过传统杀毒软件的检测。防御方需要关注这类非传统代码执行方式，并建立相应的检测机制。<\/p>

利用LLVM解释器执行代码的技术分析与教学文档<\/h1>

2. LLVM工具链基础<\/h2>

3. 基本使用方法<\/h2>

4. 免杀技术实现<\/h2>

4.2 执行回连shellcode<\/h3> 同样方法可以执行reverse_tcp等回连shellcode，成功绕过防护。<\/p>

5. 技术原理分析<\/h2>

6. 高级应用与思考<\/h2>

6.3 其他语言<\/h3> Rust语言也基于LLVM，理论上可能具备类似特性。<\/p>

8. 完整示例流程<\/h2>

8.3 打包分发<\/h3> 将lli.exe<\/code>和.bc<\/code>文件打包到安装程序或其他载体中。<\/p>

4.2 执行回连shellcode<\/h3>
同样方法可以执行reverse_tcp等回连shellcode，成功绕过防护。<\/p>

6.3 其他语言<\/h3>
Rust语言也基于LLVM，理论上可能具备类似特性。<\/p>

8.3 打包分发<\/h3>
将`lli.exe<\/code>和.bc<\/code>文件打包到安装程序或其他载体中。<\/p>`