依赖加解密的一段算法-从ZeroRootkit逆得

设计模式 2020-06-20

之前从著名的ZeroRootkit中逆得到一段解密算法。该Rootkit使用众多特别的技术使得感染稳定安全。曾为其反制技术而痴迷。
我写的玩具NZND壳,使用了类似的算法,但是强调其解密状态依赖于其他区域的加密状态。目的是不在内存中完整存在以达到阻止内存Dump的目的。
现在想来当时想到的最好措施是不足的:

  • 重定位问题
  • 攻击者通过异常来全部解密
  • 不兼容多线程问题
  • 只能兼容线性执行的情况

目前就想到这些。

BYTE XOR加密Data(BYTE* lpBuffer,DWORD dwSize,BYTE bKey)
{
   for (DWORD d=0;d<dwSize;++d)
   {
       lpBuffer[d]=lpBuffer[d]+bKey;
       bKey=lpBuffer[d]^bKey;
   }
   return bKey;
}

//必须倒着哟

void XOR解密Data(BYTE* lpBuffer,BYTE bKey)
{
   for (signed int d=(dwSize-1);d>=0;--d)
   {
       bKey=lpBuffer[d]^bKey;
       lpBuffer[d]=lpBuffer[d]-bKey;
   }
}

相关文章

迭代器模式(Iterator)
迭代器模式(Iterator)迭代器模式(Iterator)[Cursor]意图...
高性能IO模型浅析
高性能IO模型浅析服务器端编程经常需要构造高性能的IO模型,...
策略模式(Strategy)
策略模式(Strategy)策略模式(Strategy)[Policy]意图:定...
访问者模式(Visitor)
访问者模式(Visitor)访问者模式(Visitor)意图:表示一个...
命令模式(Command)
命令模式(Command)命令模式(Command)[Action/Transactio...
生成器模式(Builder)
生成器模式(Builder)生成器模式(Builder)意图:将一个对...