0

我有一个XXX.EXE应用AES到原始的结果.EXE 我有一个主机进程,它调用 CreateProcess 在XXX.EXE 主机进程中有一个解密方法允许解密任何块.EXE(这很简单,因为主机进程知道 AES 密钥)。

我想找到一种简单的方法来执行解密.EXE,并尽可能避免将整个内容存储.EXE在内存中。

我尝试为 ReadFile 安装钩子以使其在被调用时动态解密CreateProcess,但这不起作用,因为 CreateProcess 也调用CreateFileMapping,它可能使用内核模式函数读取文件,所以我被卡住了。

有人有什么想法吗?

4

1 回答 1

0

您要做的实际上是运行打包的可执行文件以混淆正在运行的内容。打包程序将允许您正常运行可执行文件,并且将有一小段未混淆/未加密的代码将解压缩二进制文件的其余部分。

一些打包程序不需要一次性解压整个二进制文件,而其他打包程序则需要。然而,这是恶意软件常用的一种使逆向工程更加困难的技术。这反过来又导致反病毒公司将打包软件标记为恶意软件。

可以编写自己的可执行加载器来解密其余的可执行文件并加载导入的函数等。 本文解释了 Windows 加载器中涉及的步骤。

于 2013-01-09T15:25:50.197 回答