文件名称:CallObfuscator:使用不同的API混淆特定的Windows API
文件大小:484KB
文件格式:ZIP
更新时间:2024-05-29 11:59:59
c-plus-plus malware-research windows-api C++
呼叫混淆器 模糊处理(隐藏)从静态/动态分析工具导入的PE。 理论 这很向前,比方说我使用过VirtualProtect并且我想用Sleep对其进行混淆,该工具将操纵IAT,以便指向VirtualProtect将指向Sleep ,现在执行文件时,Windows loader将被加载Sleep而不是VirtualProtect ,并将执行移至入口点,执行将从此处重定向到之前放置的工具shellcode,以查找VirtualProtect的地址,并使用其替换由VirtualProtect之前分配的Sleep的地址。装载机。 如何使用 它可以直接作为库包含在内,请参见以下代码段(基于示例),您也可以查看 。 # include < cobf> int main () { cobf obf_file = cobf ( " sample.exe " ); obf_file. load_