GoPhantom是为红队演练设计的荷载加载器生成器，使用Go语言将Shellcode和诱饵文件打包成免杀的Windows可执行文件。其核心功能包括多层加密、动态API解析、反沙箱检测，支持PDF等诱饵文件格式，具备自毁机制和跨平台兼容性。

本文介绍了如何使用Python加载和执行Shellcode，包括利用ctypes库进行内存分配和线程创建。还讨论了通过Base64编码传递Shellcode的方法，以及如何通过HTTP服务获取Shellcode。最后提到了一些规避杀毒软件检测的技术，如内存加密和休眠策略。

本文总结了常见杀毒软件的特点，包括静态查杀（通过特征码匹配已知病毒）和动态查杀（监控程序运行时行为）。分析了多款杀软的优缺点，讨论了免杀技术及其在C/C++和Python中的应用，最后提到Shellcode及其在反病毒检测中的策略。

本文介绍了通过将shellcode转换为UUID格式以绕过杀毒软件的查杀，并在加载时进行解码。强调了小端序和大端序的区别，并提供了相关的C++代码示例。

本文介绍了如何使用Go语言编写免杀程序，涵盖加载DLL、解密Shellcode和绕过安全软件等技术细节。作者提供了具体的代码示例和步骤，包括编译参数设置和黑框隐藏方法，并强调了技术使用的法律责任和适用性。

新式内存驻留技术利用COM对象的内存共享特性，实现跨进程隐蔽Shellcode执行。通过Rust代码结合Windows COM组件和内存共享，完成Shellcode的重组与执行。

新型内存驻留技术通过合法进程的未使用内存注入shellcode，利用内存地址随机化和熵值混淆技术规避EDR扫描。使用Rust代码实现混淆和注入，以确保隐蔽性和安全性。

堆栈欺骗技术通过保存和恢复函数信息，利用跳板注入shellcode并创建新线程。关键在于修改返回地址，防止栈回溯，从而确保shellcode隐蔽执行。

本文探讨了多种免杀技术，包括shellcode混淆、加解密方法、不同编程语言的优势，以及反汇编和动态加载函数的技巧。同时提及虚拟化和驱动免杀的高级手段，强调在网络安全中，进攻是最好的防守。

本文介绍了10条优质资源，包括AWVS、Cobalt Strike、能源管理系统、网络安全建设方法论、shellcode、010 Editor、网络安全等级保护等内容，涉及Web漏洞扫描、端口转发、溢出、木马生成、钓鱼攻击、路径遍历、全真互联、智能网联汽车安全等主题。

最近研究pwn和免杀，编写了一个加载器函数来利用栈溢出加载shellcode。测试前需要对vs进行配置，禁用运行时检查和安全检查，关闭优化，并使用xdebug进行调试。通过测试确定了loader函数的返回地址位置，并替换为shellcode地址，实现了加载功能。可以根据这个思路编写加载代码。

运行时检测真的很难糊弄，但是可以通过函数指针、Loader、加密、添加字符、沙盒等技术来规避杀软的检测，从而实现免杀。比如可以使用XOR搭配其他加密方式混淆，也可以使用MSF生成加密的Shellcode，还可以通过添加字符/替换敏感函数进行绕过，最后可以使用沙盒规避。

Molecules组织破解了Brute Ratel C4 1.2.2版本，NinjaParanoid追踪了泄露的经过，MdSec开发了Nighthawk C2，Brc4 1.2.2版本有x64和arm64两个版本，只有HTTP Listener和DOH Listener两种Listener，可以添加TCP和SMB的Payload，使用rc4算法解密加密数据，发送上线包到C2，使用Brc4自定义加密算法加密上线包，根据配置文件选择的睡眠混淆方式选择对应的睡眠混淆函数，有131个命令用于和Badger交互，使用SystemFunction036生成16字节的伪随机数用于加密睡眠中badger core dll内存的rc4密钥。

该工具使用了各种不同的开源代码库实现其功能，能够给广大研究人员更好地演示恶意软件所使用的常见的不同代码执行技术。

SharpImpersonation是一款功能强大的用户模拟工具，该工具基于令牌机制和Shellcode注入技术实现其功能。

本文章为个人笔记性质。如有错误，请多多指教。 谐音梗。issue──>艺术