HTTP读取PE文件并RunPE,少了AES解密步骤,因为缺少了一些解密函数API,说不定能规避一些专杀这种含加解密API的杀软。
Run Fileless Remote Shellcode directly in memory with Module Unhooking , Module Stomping, No New Thread. This repository contains the TeamServer and the Stager 总结下来:有一个Teamserver(其实就是启动了一个提供HTTP服务的server端)然后本体从这个地址拉取shellcode并执行
HTTP读取远程bin文件(Key&&PE),读取进来以后AES解密,最后就是常规PE加载那一套,感觉很不错,可以改成本地ReadFile并RunPE。