恶意代码免杀

声明：本内容只作为个人学习研究使用，请勿用作其他用途。 修改ImagePathName和CommandLine伪装进程 原理和步骤 修改指定进程环境块PEB中的进程路径ImagePathName以及命

Windows 事件跟踪 (ETW) 是一种有效的内核级跟踪工具，可将内核或应用程序定义的事件记录到日志文件中。可以实时或从日志文件使用事件，并使用它们调试应用程序或确定应用程序中发生性能问题的位置。

shellcode在cld和操作rsp之后，call了sub_D2，此函数前半部分代码如下，做了准备参数的工作然后通过call回到调用此函数的下一条函数地址去了。 接着shellcode中有如下代码

msf和cs为了避免在shellcode中使用函数名硬编码而是用一种api hash的技术，其中用到了ror r9d 0x0D，这句指令被AV当做强特征。 在调用函数时，将某一个函数经过运算求出的十六

msf本身只是一个攻击的框架，每个模块module以及payload都对应一个ruby脚本。随着漏洞更新，官方会提供新的攻击脚本，更新msf的过程可以理解为把这些新的脚本下载下来，就可以直接使用了。

PEB 进程环境信息块，是一个从内核中分配给每个进程的用户模式结构,每一个进程都会有从ring0分配给该进程的进程环境块。 GS段寄存器指向当前的TEB结构，可以看到PEB在TEB的0x30偏移处 微

Cobalstrike监听器 监听器包括8种Beacon类型。 内置6种：Beacon DNS、Beacon HTTP、Beacon HTTPS、Beacon SMB、Beacon TCP、Exter

Dll注入技术 Dll注入原理 CreateRemoteThread方法，需要将注入的参数(也就是Dll文件的路径)写入目标进程空间，因此通过WriteProcessMemory来申请内存空间写入DL

unicode字符集和utf编码 unicode是一个字符集，只规定了每个符号的二进制值，当然也有确定的编码码值，但是符号具体如何存储并没有规定。 utf是unicode的存储实现，utf全称为uni