MihirDesai564/xor-resource-dropper

# xor-resource-dropper 教育性质的 Windows 恶意软件开发项目，展示了进程注入、通过 XOR + API 隐藏实现的反静态分析，以及资源节的使用。专为网络安全研究和红队演练而构建。 # 高级进程注入 Dropper（教育 / 红队工具） 一个自定义的 Windows dropper，实现了经典的进程注入技术，并具备多重规避功能。旨在展示在恶意软件开发、Windows 内部原理、反分析以及红队行动方面的技能。 **⚠️ 免责声明** 本项目仅用于**教育以及经过授权的红队 / 渗透测试目的**。未经明确许可，将此代码用于您不拥有或未获授权进行测试的系统是违法的。对于因使用本软件而造成的任何损害或法律后果，作者概不负责。 ## 功能特性 - **基于资源的 Payload 存储** 恶意 payload 被嵌入到 PE 的资源节 (`RT_RCDATA`) 中，并在编译时使用 XOR 进行加密。 - **运行时 XOR 解密** 使用滚动 Key 进行简单但有效的 XOR 解密。 - **API 隐藏（IAT 中无可疑条目）** 关键的注入 API（`VirtualAllocEx`、`WriteProcessMemory`、`CreateRemoteThread`）会： - 加密存储在二进制文件中 - 在运行时解密 - 使用 `GetModuleHandle` + `GetProcAddress` 动态解析 - **进程注入** - 定位正在运行的 `notepad.exe` 进程 - 在远程进程中分配可执行内存 - 将解密后的 payload 写入远程进程 - 通过 `CreateRemoteThread` 执行 payload - **规避技术** 目前可以绕过 Windows Defender（截至测试时）。在最小化静态特征的同时，使用了常见的注入技术。

标签：C/C++, DNS 反向解析, SSH蜜罐, UML, 中高交互蜜罐, 事务性I/O, 免杀技术, 恶意软件开发, 暴力破解检测, 端点可见性, 进程注入