Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-security:blog:obfuscation_polymorphic_in_memory_decoder [2024/09/23 10:49] – angelegt psycore
+++ it-security:blog:obfuscation_polymorphic_in_memory_decoder [2024/10/15 21:27] (aktuell) – psycore
@@ Zeile 143: / Zeile 143: @@
 <code python>
-python shencode.py extract -f calc.o -o calc.raw -fb 60 -lb 311
+python shencode.py extract -i calc.o -o calc.raw -fb 60 -lb 311
 ...
-python shencode.py encode -f calc.raw -o calc.xor -x -xk 63
+python shencode.py xorenc -f calc.raw -o calc.xor -k 63
 ...
-python shencode.py output -f calc.xor -s cs
+python shencode.py formatout -i calc.xor -s cs
 [*] processing shellcode format...
 x6a,0x77,0xb6,
@@ Zeile 188: / Zeile 188: @@
 <code python>
-python shencode.py output -f xor-decoder.o -s inspect
+python shencode.py formatout -i xor-decoder.o -s inspect
 x00000048: 00 00 00 00 00 00 00 00
@@ Zeile 198: / Zeile 198: @@
 x00000336: 00 00 00 00 00 fe ff 00
-python shencode.py extract -f xor-decoder.o -o xor-decoder.stub -fb 60 -lb 329
+python shencode.py extract -i xor-decoder.o -o xor-decoder.stub -fb 60 -lb 329
 [*] try to open file
@@ Zeile 206: / Zeile 206: @@
 [+] DONE!
-python shencode.py output -f xor-decoder.stub -s c
+python shencode.py formatout -i xor-decoder.stub -s c
 [*] processing shellcode format...
@@ Zeile 263: / Zeile 263: @@
 <code python>
-python shencode.py encode -f input.raw -o xor.out --xor --xorkey 63
+python shencode.py xorencode -i input.raw -o xor.out --key 63
-python shencode.py create --xor-stub --xor-filename xor.out --xor-outputfile stub.raw --xor-key 63
+python shencode.py xorpoly -i xor.out -o stub.raw --key 63
 </code>
 Der XOR-Decoder stellt einen wirksamen Speicherschutz dar. In Verbindung mit anderen Obfuscation Techniken, kann dies ein guter Helfer für Penetration Tests sein. Während meines Tests wurde selbst das Metasploit Payload nicht vom Windows Defender erkannt.
+~~DISCUSSION~~