恶意代码加密免杀技术:AES 加密与反射调用
这段代码使用了 AES 加密算法对恶意代码进行加密,然后再将加密后的代码解密并执行。使用加密可以使得恶意代码难以被静态分析和检测,从而达到免杀的效果。
具体实现上,首先生成一个随机的 32 字节 AES 密钥,然后使用该密钥对恶意代码进行加密。加密过程中,使用随机生成的 IV(Initialization Vector)来避免 ECB 模式下相同明文加密出相同密文的问题。加密后的代码通过 base64 编码转换为字符串,方便在网络中传输和存储。
在执行时,先将加密后的代码通过 base64 解码并用相同的密钥进行解密,得到恶意代码的字节切片。然后将字节切片传入反射调用的 exec 函数中,该函数使用 VirtualAlloc 在内存中分配一块可执行的内存,并将恶意代码复制到该内存中。最后通过 CreateThread 创建一个新的线程来执行恶意代码。
总之,该代码通过加密和反射调用等手段实现了简单的免杀效果,但仍然存在被检测和拦截的风险。
原文地址: https://www.cveoy.top/t/topic/lP3h 著作权归作者所有。请勿转载和采集!