论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
云安全
[28653] 2020-11-17_使用SharpBlock的无补丁AMSI旁路
文档创建者:
s7ckTeam
浏览次数:
2
最后更新:
2025-01-19
云安全
2 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2020-11-17_使用SharpBlock的无补丁AMSI旁路
使
用
S
h
a
r
p
B
l
o
c
k
的
无
补
丁
A
M
S
I
旁
路
O
t
s
安
全
2
0
2
0
-
1
1
-
1
7
对
于
那
些
关
注
我
的
个
人
博
客
文
章
创
建
E
D
R
和
绕
过
它
的
人
,
我
开
发
了
一
种
名
为
S
h
a
r
p
B
l
o
c
k
的
新
工
具
。
该
工
具
实
现
W
i
n
d
o
w
s
调
试
器
,
以
防
止
E
D
R
或
任
何
其
他
D
L
L
加
载
到
S
h
a
r
p
B
l
o
c
k
启
动
的
进
程
中
。
S
h
a
r
p
B
l
o
c
k
的
初
始
版
本
中
缺
少
的
一
项
功
能
是
能
够
绕
过
A
M
S
I
。
当
前
,
有
几
种
A
M
S
I
旁
路
可
用
于
逃
避
最
新
和
最
大
的
恶
意
软
件
有
效
负
载
。
有
些
涉
及
修
改
的
有
效
载
荷
本
身
就
像
@
H
a
c
k
i
n
g
D
a
v
e
在
他
的
视
频
的
第
一
部
分
展
示
了
这
里
,
和
其
他
涉
及
修
补
其
A
m
s
i
S
c
a
n
B
u
f
f
e
r
代
码
C
y
b
e
r
A
r
k
报
道
,
在
2
0
1
8
年
回
来
。
最
初
,
我
的
计
划
只
是
按
照
C
y
b
e
r
A
r
k
演
示
的
相
同
方
式
对
A
m
s
i
S
c
a
n
B
u
f
f
e
r
代
码
进
行
修
补
,
但
是
在
我
的
研
究
过
程
中
,
我
还
遇
到
了
F
-
S
e
c
u
r
e
的
博
客
,
其
中
包
括
H
u
n
t
i
n
g
f
o
r
A
M
S
I
绕
过
。
因
此
,
出
于
绕
过
E
D
R
的
精
神
,
我
开
始
了
绕
过
A
M
S
I
而
不
需
要
修
补
代
码
的
道
路
。
S
h
a
r
p
B
l
o
c
k
调
试
器
S
h
a
r
p
B
l
o
c
k
通
过
实
现
调
试
器
来
运
行
,
该
调
试
器
侦
听
D
L
L
加
载
事
件
并
阻
止
D
L
L
入
口
点
执
行
。
到
目
前
为
止
,
它
还
不
是
真
正
成
熟
的
调
试
器
,
因
为
它
只
对
特
定
事
件
感
兴
趣
。
这
让
我
开
始
思
考
,
是
否
可
以
扩
展
S
h
a
r
p
B
l
o
c
k
的
调
试
器
功
能
并
自
动
执
行
在
代
码
内
设
置
断
点
和
更
改
返
回
值
的
行
为
,
而
无
需
修
补
代
码
。
对
于
非
开
发
人
员
而
言
,
断
点
本
质
上
是
放
在
特
定
代
码
或
指
令
行
上
的
书
签
,
当
执
行
到
该
特
定
点
时
,
该
书
签
将
暂
停
程
序
。
这
使
开
发
人
员
可
以
检
查
该
程
序
当
时
在
做
什
么
。
然
后
,
开
发
人
员
可
以
检
查
和
修
改
程
序
中
的
变
量
并
返
回
值
,
然
后
在
就
绪
后
继
续
执
行
。
对
于
x
8
6
/
x
8
6
_
6
4
上
的
本
机
编
译
程
序
,
有
两
种
实
现
断
点
的
方
法
:
软
件
和
硬
件
。
软
件
断
点
是
没
有
问
题
的
,
因
为
这
实
际
上
涉
及
修
补
我
们
打
算
放
置
断
点
的
代
码
,
从
而
使
A
M
S
I
D
e
t
e
c
t
i
o
n
等
工
具
可
以
检
测
到
我
们
的
A
S
M
I
旁
路
。
这
样
就
给
我
们
留
下
了
硬
件
断
点
。
在
I
n
t
e
l
/
A
M
D
C
P
U
上
有
一
组
特
殊
的
调
试
寄
存
器
,
每
个
线
程
最
多
允
许
4
个
硬
件
断
点
。
有
问
题
的
寄
存
器
编
号
为
D
r
0
至
D
r
7
。
D
r
0
-
D
r
3
存
储
我
们
的
断
点
地
址
,
而
D
r
6
和
D
r
7
是
控
制
寄
存
器
,
用
于
启
用
断
点
并
确
定
在
遇
到
断
点
时
触
发
了
哪
些
断
点
。
一
旦
在
特
定
线
程
上
设
置
了
D
R
寄
存
器
,
当
指
令
指
针
即
将
在
断
点
地
址
执
行
指
令
时
,
C
P
U
将
触
发
一
个
i
n
t
1
中
断
(
单
步
)
,
然
后
由
调
试
器
捕
获
。
E
n
a
b
l
e
B
r
e
a
k
p
o
i
n
t
的
的
S
h
a
r
p
B
l
o
c
k
实
现
:
实
现
:
A
m
s
i
初
始
化
旁
路
A
m
s
i
S
c
a
n
B
u
f
f
e
r
修
补
程
序
是
有
效
的
旁
路
,
实
际
上
,
可
以
在
进
程
开
始
后
很
长
时
间
使
用
它
。
另
一
方
面
,
S
h
a
r
p
B
l
o
c
k
从
一
开
始
就
控
制
该
过
程
,
因
此
考
虑
到
这
一
点
,
我
想
知
道
是
否
可
以
尽
早
禁
用
A
M
S
I
并
尽
可
能
多
地
清
除
以
免
被
发
现
。
A
m
s
i
S
c
a
n
B
u
f
f
e
r
需
要
在
调
用
之
前
创
建
上
下
文
,
这
是
使
用
A
m
s
i
I
n
i
t
i
a
l
i
z
e
A
P
I
完
成
的
。
作
为
我
的
E
D
R
研
究
的
一
部
分
,
我
注
意
到
某
些
解
决
方
案
支
持
完
全
禁
用
A
M
S
I
扫
描
界
面
。
禁
用
后
,
A
m
s
i
I
n
i
t
i
a
l
i
z
e
函
数
将
返
回
错
误
0
x
8
0
0
7
0
0
0
2
,
这
意
味
着
由
于
未
创
建
有
效
上
下
文
,
因
此
从
未
调
用
过
A
m
s
i
S
c
a
n
B
u
f
f
e
r
。
这
就
是
S
h
a
r
p
B
l
o
c
k
的
计
划
,
在
A
m
s
i
I
n
i
t
i
a
l
i
z
e
上
设
置
一
个
断
点
,
然
后
更
新
返
回
值
以
防
止
创
建
有
效
的
上
下
文
。
当
达
到
断
点
时
,
S
h
a
r
p
B
l
o
c
k
将
被
E
X
C
E
P
T
I
O
N
_
D
E
B
U
G
_
E
V
E
N
T
中
断
。
异
常
代
码
包
含
值
0
x
8
0
0
0
0
0
0
4
,
它
是
S
I
N
G
L
E
_
S
T
E
P
异
常
的
常
量
。
到
那
时
,
我
们
可
以
查
询
触
发
异
常
的
线
程
上
下
文
,
该
上
下
文
会
在
断
点
时
返
回
所
有
寄
存
器
状
态
。
击
中
击
中
A
m
s
i
I
n
i
t
i
a
l
i
z
e
断
点
时
相
关
寄
存
器
的
状
态
:
断
点
时
相
关
寄
存
器
的
状
态
:
绕
过
的
目
的
是
将
当
前
指
令
指
针
改
回
到
A
m
s
i
I
n
i
t
i
a
l
i
z
e
的
调
用
者
,
并
用
0
x
8
0
0
7
0
0
2
更
新
返
回
值
以
指
示
A
M
S
I
当
前
处
于
禁
用
状
态
。
我
们
实
质
上
要
模
拟
的
是
R
E
T
指
令
,
这
样
实
际
上
不
会
调
用
A
m
s
i
I
n
i
t
i
a
l
i
z
e
。
为
此
,
我
们
需
要
在
线
程
上
下
文
上
更
新
3
个
独
立
的
任
务
。
第
一
种
是
将
当
前
指
令
指
针
更
新
为
调
用
者
。
这
是
通
过
读
取
R
S
P
当
前
指
向
的
内
存
地
址
来
实
现
的
,
因
为
在
函
数
的
第
一
条
指
令
中
,
这
将
是
返
回
地
址
。
第
二
种
是
将
R
A
X
寄
存
器
设
置
为
我
们
的
返
回
值
0
x
8
0
0
7
0
0
2
第
三
是
增
加
堆
栈
指
针
,
使
其
指
向
与
实
际
执
行
R
E
T
指
令
相
同
的
位
置
。
D
i
s
a
b
l
e
A
M
S
I
的
的
S
h
a
r
p
B
l
o
c
k
s
实
现
:
实
现
:
上
面
的
代
码
中
使
用
的
C
o
n
t
e
x
t
6
4
类
是
本
机
A
P
I
的
G
e
t
T
h
r
e
a
d
C
o
n
t
e
x
t
和
S
e
t
T
h
r
e
a
d
C
o
n
t
e
x
t
的
轻
包
装
,
它
们
实
质
上
使
应
用
程
序
能
够
查
询
和
更
改
线
程
及
其
寄
存
器
的
当
前
状
态
。
名
为
A
m
s
i
I
n
i
t
i
a
l
i
z
e
的
线
程
现
在
处
于
指
示
A
M
S
I
已
被
禁
用
且
未
创
建
任
何
上
下
文
的
状
态
。
清
理
我
可
以
想
到
的
一
种
检
测
此
绕
过
的
方
法
是
定
期
检
索
所
有
线
程
的
上
下
文
,
并
查
看
A
m
s
i
I
n
i
t
i
a
l
i
z
e
上
是
否
设
置
了
任
何
断
点
。
为
了
解
决
这
个
问
题
,
在
恢
复
调
试
后
的
程
序
之
前
,
我
们
还
需
要
清
理
。
由
于
我
们
不
再
需
要
断
点
,
因
此
我
们
可
以
遍
历
所
有
调
试
对
象
的
线
程
并
清
除
断
点
。
清
除
所
有
硬
件
断
点
:
清
除
所
有
硬
件
断
点
:
可
在
G
i
t
H
u
b
上
找
到
S
h
a
r
p
B
l
o
c
k
的
最
新
代
码
,
其
中
包
括
A
M
S
I
旁
路
方
法
。
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
C
C
o
b
/
S
h
a
r
p
B
l
o
c
k
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
云安全