PythonMemoryModule是由Joachim Bauch最初发布的MemoryModule技术的Python ctypes移植。 它利用pefile来解析PE头和ctype。

该工具最初被认为是用作Pyramid模块，通过完全从内存加载python.exe中的dll/exe有效载荷来提供对AV/EDR的规避，但是其他用例也是可能的（IP保护，pyds内存加载，其他隐形技术的衍生产品），所以我决定创建一个专用的repo。

为什么它可以是有用的：

1. 它基本上允许完全在Python解释语言中使用MemoryModule技术，允许使用股票签名的python.exe二进制文件从内存缓冲区加载dll，而不需要在磁盘上放置外部代码/库（例如pymemorymodule绑定），这些代码/库可以被AV/EDR标记或引起用户的怀疑。

2. 在编译语言中使用MemoryModule技术，加载器将需要在加载器本身中嵌入MemoryModule代码。使用Python解释语言和PythonMemoryModule可以避免这一点，因为代码可以在内存中动态执行。

3. 你可以通过动态地在内存中下载、解密和加载应该被隐藏起来的dll来获得某种程度的知识产权保护。请记住，dll仍然可以从内存中恢复和逆向工程，但至少需要攻击者付出更多的努力。

4. 你可以加载一个stageless payload dll而不执行注入或shellcode执行。加载过程模拟API（它将磁盘上的路径作为输入），而不实际调用它并在内存中操作。

下载地址：https://github.com/naksyn/PythonMemoryModule

承接以下业务：

欢迎添加微信进行业务咨询：