之前从著名的ZeroRootkit中逆得到一段解密算法。该Rootkit使用众多特别的技术使得感染稳定安全。曾为其反制技术而痴迷。
我写的玩具NZND壳,使用了类似的算法,但是强调其解密状态依赖于其他区域的加密状态。目的是不在内存中完整存在以达到阻止内存Dump的目的。
现在想来当时想到的最好措施是不足的:
- 重定位问题
- 攻击者通过异常来全部解密
- 不兼容多线程问题
- 只能兼容线性执行的情况
目前就想到这些。
BYTE XOR加密Data(BYTE* lpBuffer,DWORD dwSize,BYTE bKey)
{
for (DWORD d=0;d<dwSize;++d)
{
lpBuffer[d]=lpBuffer[d]+bKey;
bKey=lpBuffer[d]^bKey;
}
return bKey;
}
//必须倒着哟
void XOR解密Data(BYTE* lpBuffer,BYTE bKey)
{
for (signed int d=(dwSize-1);d>=0;--d)
{
bKey=lpBuffer[d]^bKey;
lpBuffer[d]=lpBuffer[d]-bKey;
}
}
