摘要:
一、参考文章和工具 https://paper.seebug.org/1413/ https://github.com/knownsec/shellcodeloader 二、shellcode的加载方式 将shellcode写入代码或者在资源中加载shellcode 通过文件读取的方式加载shell 阅读全文
摘要:
一、从异常目录中读取函数调用地址(只适用于x64) 将NTDLL.dll映射到只读内存中,在调用之前将函数调用地址复制到可执行缓冲区,并执行。 参考文章和代码: https://modexp.wordpress.com/2020/06/01/syscalls-disassembler/ https: 阅读全文
摘要:
一、参考文章 https://www.ddosi.org/bypass-0/ 二、静态查杀 文件复合特征码、内存特征码 主要扫描的特征段有:hash、文件名、函数名、敏感字符串、敏感api等等。(特征api的绕过) 对于内存免杀:可经过多重shellcode加解密绕过(没被杀软识别的算法),或者利用 阅读全文