¿está codificando lo mismo que el cifrado para la ofuscación de malware?

La codificación y el cifrado no son lo mismo: la codificación no necesita una clave, el cifrado sí. XOR no está codificando, es una forma de cifrado muy débil . Base64 sería un ejemplo de codificación. Uuencode es otro ejemplo.

La diferencia entre XOR y AES es la diferencia entre una caja de madera con clavos que cierran la puerta y una caja fuerte de banco. XOR puede ser descifrado trivialmente, pero AES no lo hace.

En este caso específico de ofuscación de código, XOR es astronómicamente más rápido que AES. Derrotará a la mayoría de los sistemas IDS basados en firmas y no aumentará demasiado el código resultante. AES creará un código más grande y será más lento.

En ambos casos, cualquier inspector humano podrá descifrar el contenido, ya que deberá proporcionar la clave para descifrar el código. De lo contrario, su programa no se ejecutaría en absoluto.

No, la codificación no es lo mismo que el cifrado.

"¿Sería lo mismo si solo lo cifrara a través de AES y luego lo descifrase antes de ejecutarlo?" No, el texto cifrado en el cable y en reposo es menos recuperable que las cargas útiles codificadas.

"¿El resultado final sería el mismo?" Sí, siempre que termines con el mismo texto sin formato con el que comenzaste, el resultado final sería el mismo.

"¿Es mejor la codificación que el cifrado para la ofuscación de shellcode?" La codificación es menos computativa pero menos segura. El cifrado es más seguro y más computación. También tiene el problema del depósito de claves y, si no se hace correctamente, es un poco más seguro que la codificación (todavía tengo que encontrar la clave). Por lo tanto, la respuesta depende de si desea una entrega de carga útil más segura o más rápida para el código shell.