shellcode免杀思路
作者:互联网
一、参考文章和工具
https://paper.seebug.org/1413/
https://github.com/knownsec/shellcodeloader
二、shellcode的加载方式
将shellcode写入代码或者在资源中加载shellcode
通过文件读取的方式加载shellcode
通过网络连接获取shellcode
三、shellcode加解密
DES、RSA、RC4、xor、base64等等加密方式
四、内存加载shellcode方式
通过各种方式执行加载进内存:
CreateThreadpoolWait加载
Fiber加载
NtTestAlert加载
SEH异常加载
TLS回调加载
系统call加载
APC注入
Early Bird APC注入
Early Brid APC注入原理
NtCreateSection注入
入口点劫持注入
线程劫持注入
等
五、内存通常执行方式
1、申请动态内存加载
2、指针执行
3、嵌入汇编
4、强制类型转换
5、汇编花指令
标签:免杀,方式,内存,APC,思路,加载,shellcode,注入 来源: https://www.cnblogs.com/sakura521/p/15678040.html