一种通用的XOR加密后内存加载PE绕过杀毒软件的方法 res目录下a.h文件生成方法:EncryptFile.exe 1.exe a.h aArray 123
生成的加密key和loader的解密key一致即可,这里演示用,均为123
理论上可以通过异或加密后将任意malware保存在loader内,不会被安全软件查杀,解密后加载内存,不会产生文件,只要更换加密key,就可以实现再次免杀。
注意:1.过不了主动防御。2.在64位操作系统下无效,哪位修改一下?应该只是基址的问题。
重要声明:此文章仅供学习交流,请勿用于非法用途!