关闭

快速判断恶意代码是否有异或加密算法

642人阅读 评论(0) 收藏 举报
分类:
#coding:utf-8


import base64
import sys
src = open(sys.argv[1], 'rb').readlines()'用命令行输入文件
for s in src:
    t=s.find(',')'找到索引
    a=s[t-3]+ s[t-2]+s[t-1]
    b=s[t+2]+ s[t+3]+s[t+4]
    if a.strip() != b.strip():‘去掉两端的空格
          print s
          

 本案例是通过IDA查找XOR异或,将存在异或的文本复制下来保存成文件,然后通过该脚本滤掉判断是否为0的异或操作也就是,两个寄存器相同的例如:


xor     esi, esi      

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:86269次
    • 积分:1003
    • 等级:
    • 排名:千里之外
    • 原创:29篇
    • 转载:12篇
    • 译文:2篇
    • 评论:18条
    最新评论