依赖加解密的一段算法-从ZeroRootkit逆得

前端之家收集整理的这篇文章主要介绍了依赖加解密的一段算法-从ZeroRootkit逆得前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

之前从著名的ZeroRootkit中逆得到一段解密算法。该Rootkit使用众多特别的技术使得感染稳定安全。曾为其反制技术而痴迷。
我写的玩具NZND壳,使用了类似的算法,但是强调其解密状态依赖于其他区域的加密状态。目的是不在内存中完整存在以达到阻止内存Dump的目的。
现在想来当时想到的最好措施是不足的:

  • 重定位问题
  • 攻击者通过异常来全部解密
  • 不兼容多线程问题
  • 只能兼容线性执行的情况

目前就想到这些。

BYTE XOR加密Data(BYTE* lpBuffer,DWORD dwSize,BYTE bKey)
{
   for (DWORD d=0;d<dwSize;++d)
   {
       lpBuffer[d]=lpBuffer[d]+bKey;
       bKey=lpBuffer[d]^bKey;
   }
   return bKey;
}

//必须倒着哟

void XOR解密Data(BYTE* lpBuffer,BYTE bKey)
{
   for (signed int d=(dwSize-1);d>=0;--d)
   {
       bKey=lpBuffer[d]^bKey;
       lpBuffer[d]=lpBuffer[d]-bKey;
   }
}
原文链接:https://www.f2er.com/javaschema/283604.html

猜你在找的设计模式相关文章