è la codifica della crittografia per l'offuscamento del malware?

Codifica e crittografia non sono la stessa cosa: la codifica non ha bisogno di una chiave, la crittografia lo fa. XOR non sta codificando, è una forma di crittografia molto debole . Base64 sarebbe un esempio di codifica. Uuencode è un altro esempio.

La differenza tra XOR e AES è la differenza tra una scatola di legno con chiodi che chiude la porta e una cassastrong per la banca. XOR può essere banalmente decodificato, ma AES no.

In questo caso specifico di offuscamento del codice, XOR è astronomicamente più veloce di AES. Distruggerà la maggior parte dei sistemi IDS basati sulle firme e non aumenterà troppo il codice risultante. AES creerà un codice più grande e sarà più lento.

In entrambi i casi, qualsiasi ispettore umano sarà in grado di decodificare il contenuto, in quanto dovrai fornire la chiave per decrittografare il codice. Altrimenti il tuo programma non funzionerebbe affatto.

No, la codifica non è la stessa cosa della crittografia.

"Sarebbe lo stesso se lo criptassi tramite AES e poi lo decifrassi prima di eseguirlo." No, il testo cifrato sul filo e a riposo è meno recuperabile rispetto ai payload codificati.

"Il risultato finale sarebbe lo stesso?" Sì, se finisci con lo stesso testo in chiaro con cui hai iniziato, il risultato finale sarebbe lo stesso.

"La codifica è migliore della crittografia per l'offuscamento del codice shell?" La codifica è meno calcolata ma meno sicura. La crittografia è più sicura e più computazionale. Hai anche il problema di key escrow e se non fatto bene, è leggermente più sicuro della codifica (devo ancora trovare la chiave). Quindi la risposta dipende dalla necessità di una consegna del carico utile più sicura o più veloce per lo shellcode.