静态免杀核心观点 主要是看导入表不同的杀软检测逻辑可能不同，但是通过导入表可以直接获取使用了windows kernel32 的哪些函数，如果是使用多个危险函数，可能就会被报毒如果想要防止被察觉到，就有两种方法，第一种方法就是使用加壳，第二个方法就是进行动态加载 封装windows api 免杀（r3 层函数重写）所谓的r3 层本质就是用户层r0 层就是内核层 -> 驱动 通过封装达到免杀

简介在做渗透测试中，尽量使用终端代替图形化 图形化可能是商业工具，不确定是否是有后门 有很多终端指令可以完全代替图形化的功能 常用命令 base64 tcpdump可以代替wireshark 终端复用tmux

靶场搭建直接讲将目标下载到本地，然后倒入到vm 里面就可以了 https://download.vulnhub.com/w1r3s/w1r3s.v1.0.1.zip 思路可以看看红队笔记师傅的视频 【「红队笔记」靶机精讲：W1R3S 1.0.1 - 渗透测试思路为王，细节多到即使对于纯萌新也能无感入圈。】 https://www.bilibili.com/video/BV1mB4y1j7K6

简介总所周知，powershell 是windows 最强大的后门，现在就尝试使用这个后门进行加载shellcode powershell 记载shellcde 可以分为两种方式，第一个方式就是无文件落地的方式，内存加载第二种方式就是使用先下载到本地文件，然后再加载 前情提要远程加载1cmd.exe /c powershell.exe -ExecutionPolicy bypass -noprof

介绍Gock是专为Go语言设计的一个高度灵活且易于使用的HTTP请求模拟库。它允许开发者在进行Web服务测试时，无需依赖真实的网络环境或外部API，从而简化开发流程并提高测试速度和稳定性。Gock的设计使得它可以模拟各种复杂的HTTP交互场景，包括但不限于响应状态码、头信息、延迟响应以及流式传输等。 下载1go get -u github.com/h2non/gock 使用一个简单的demo12

TSY244/FIleStudy (github.com)

TSY244/ByPassAvLearnPython (github.com) 简介基本的思路 Py 源代码编译exe 使用python 加载c 代码 py2exe 打包编译exe base64 shellcode 之后进行加载 py+c 编译exe Xor 加密 Aes 加密 Python 加载器 HEX加密 base64 加密 具体实现Py 源代码编译exepyt

具体参考 TSY244/AByPassAvLearnCpp (github.com)

预备知识 线程是不能被“杀掉”、“挂起”、“恢复”的，线程在执行的时候自己占据着CPU，别人不能控制它 举个极端的例子：如果不调用API，屏蔽中断，并保证代码不出现异常，线程将永久占用CPU 所以说线程如果想“死”，一定是自己执行代码把自己杀死，不存在“他杀”的情况 那么将会产生一个问题 如果想改变一个线程的行为该怎么做呢？ 既然只能让他自己杀死自己，那我们就递出那一把刀。 让他主动调用一

简介cpp 加载dll 可以分为在编译的时候进行加载或者是在执行代码的时候进行动态加载 编译加载dll 的制作制作一个class static 的函数的dll，然后在编译的时候链接，但是这样如果dll 数量过多，只要有一个dll 不存在，整个程序都会报错 12345678910111213141516171819cmake_minimum_required(VERSION 3.29) proje