[发明专利]一种数据混淆加密方法

说明书

本发明公开了一种数据混淆加密方法，所述方法包括：数据发送端生成待传输的初始数据代码；利用异或运算加密初始数据代码，获得一次加密结果；将一次加密结果转化为字符串数组以完成二次加密并将所述字符串数组发送给数据接收端；数据接收端对字符串数组进行解密，还原为一次加密结果；数据接收端再次利用异或运算对一次加密结果解密获得初始数据代码，最终执行初始数据代码；本发明的优点在于：一些不希望进行特征检测的场合下避免数据被杀毒软件检测而无法正常进行下一步操作，提高数据传输的效率以及安全性。

技术领域

本发明涉及计算机网络安全技术领域，更具体涉及一种数据混淆加密方法。

背景技术

当今杀软的主流技术通过特征码检测为主，究其原因，一是该技术研究最早，发展最为成熟；二是能够准确有效标识病毒，基于特征检测开发的引擎检测效率高，因此为大多数放毒软件厂商所采用。鉴于此，国内外逐步开展了基于特征码的免杀技术研究。目前研究成果有源码免杀、花指令免杀、shellcode分离加载、shellcode混淆、加商业壳，调用底层API、冷门语言编写木马、利用unhook等方式绕过杀软检测。

目前主流C2控制端利用Cobalt Strike工具实现远控，Cobalt Strike是一款基于Java编写的全平台多方协同后渗透攻击框架，也称为CS。早期版本依赖Metasploit框架，Cobalt Strike 3.0之后则是作为单独的平台使用。其支持多种通信协议，包括http、https、dns、smb等，同时集成了提权、凭据导出、端口转发、端口扫描、横向移动、Socks代理、钓鱼攻击等功能，且支持丰富的扩展插件，几乎可以覆盖APT攻击链所需的各个技术环节。木马生成方面也涵盖了大多数的平台和攻击场景，包括PE木马、ELF木马、网页木马、Office宏病毒木马等，而通过自带工具生成木马具备强特征，已被大多厂商所查杀，因此目前大多数具备强特征的木马或者数据在传输过程中能够被查杀，在一些不希望进行特征检测的场合下如何实现数据免杀成了新的研究热点。

中国专利公开号CN112052432A，公开了一种终端设备授权方法，所述方法包括加密流程、解密流程及终端认证流程，加密流程包括，将终端设备的MAC地址形成一个二维数组，将二维数组的元素与字符R进行异或运算处理得到密文字符串，然后写入密钥文件；解密流程包括将密钥文件的密文字符串读取出来与字符R进行异或运算，然后处理得到终端设备的MAC地址；终端认证流程包括终端设备的MAC地址是否在预设的终端设备白名单中以及判断密钥文件是否在有效期内，来判断是否对终端设备进行授权。该专利申请的有益效果在于：利用终端设备的物理地址信息，加密成密钥文件，对终端设备进行认证，使得各终端设备的加密不再需要硬件加密锁，大大节约成本，同时提高项目管理效率。但是该专利申请采用一次异或加密，两次异或的方式进行解密，部分杀毒软件对异或是有特殊监控规则的，当出现循环异或时，程序的信息熵和会增加，就会被杀毒软件认为可疑，因此该专利申请难以绕过杀毒软件的特征检测。

发明内容

本发明所要解决的技术问题在于现有技术数据混淆加密方法难以绕过杀毒软件的特征检测，导致一些不希望进行特征检测的场合下数据依然被杀毒软件检测而无法正常进行下一步操作，影响数据传输的效率以及安全性。

本发明通过以下技术手段实现解决上述技术问题的：一种数据混淆加密方法，所述方法包括：

步骤一：数据发送端生成待传输的初始数据代码；

步骤二：利用异或运算加密初始数据代码，获得一次加密结果；

步骤三：将一次加密结果转化为字符串数组以完成二次加密，并将所述字符串数组发送给数据接收端；

步骤四：数据接收端对字符串数组进行解密，还原为一次加密结果；

步骤五：数据接收端利用异或运算对一次加密结果解密获得初始数据代码，最终执行初始数据代码。