本文章列出了非常多的终端对抗的点,尽管他只是起一个"概述"的作用,但我们可以根据他提供的这些细节点,来为我们的Loader提供更加强大的免杀能力。我这里读到了比较有意思的一个是,规避AES加密产生的导入表问题。这个在我二开的FilessRunPE中产生了这个问题,导入表中的ADVAPI32.dll存在了他列出来的这些API。我需要通过函数指针或是直接/间接系统调用来实现规避,很遗憾,这些东西我仍然需要学习。
学习一下利用java.exe起一个进程,然后实现shellcodeLoader
获取一个干净的堆栈,以此来绕过EDR的栈回溯。 阅读这篇文章,收获了很多,包括 * 对堆栈的相关学习 * 对回调函数的学习 * 对汇编的学习: * 学习掌握了各种寄存器是干什么的 * 对汇编代码的理解 这篇文章还有第二篇,但是光阅读第一篇文章我就花费了4个小时的时间,去尝试弄懂这些东西,收获其实是很多的。