依赖加解密的一段算法-从ZeroRootkit逆得

之前从著名的ZeroRootkit中逆得到一段解密算法。该Rootkit使用众多特别的技术使得感染稳定安全。曾为其反制技术而痴迷。
我写的玩具NZND壳，使用了类似的算法，但是强调其解密状态依赖于其他区域的加密状态。目的是不在内存中完整存在以达到阻止内存Dump的目的。
现在想来当时想到的最好措施是不足的：

• 重定位问题
• 攻击者通过异常来全部解密
• 不兼容多线程问题
• 只能兼容线性执行的情况

目前就想到这些。

BYTE XOR加密Data(BYTE* lpBuffer,DWORD dwSize,BYTE bKey)
{
   for (DWORD d=0;d<dwSize;++d)
   {
       lpBuffer[d]=lpBuffer[d]+bKey;
       bKey=lpBuffer[d]^bKey;
   }
   return bKey;
}

//必须倒着哟

void XOR解密Data(BYTE* lpBuffer,BYTE bKey)
{
   for (signed int d=(dwSize-1);d>=0;--d)
   {
       bKey=lpBuffer[d]^bKey;
       lpBuffer[d]=lpBuffer[d]-bKey;
   }
}