论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[14781] 2019-11-05_红蓝对抗之如何利用Shellcode来躲避安全检测
文档创建者:
s7ckTeam
浏览次数:
5
最后更新:
2025-01-18
IOT
5 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2019-11-05_红蓝对抗之如何利用Shellcode来躲避安全检测
红
蓝
对
抗
之
如
何
利
用
S
h
e
l
l
c
o
d
e
来
躲
避
安
全
检
测
A
l
p
h
a
_
h
4
c
k
F
r
e
e
B
u
f
2
0
1
9
-
1
1
-
0
5
写
在
前
面
的
话
写
在
前
面
的
话
对
于
红
队
安
全
研
究
团
队
来
说
,
一
次
成
功
的
渗
透
测
试
必
须
是
不
被
目
标
系
统
发
现
的
,
随
着
现
代
终
端
检
测
和
响
应
对
于
红
队
安
全
研
究
团
队
来
说
,
一
次
成
功
的
渗
透
测
试
必
须
是
不
被
目
标
系
统
发
现
的
,
随
着
现
代
终
端
检
测
和
响
应
(
(
E
D
R
)
产
品
日
趋
成
熟
,
红
队
也
必
须
随
之
每
日
俱
进
。
在
这
篇
文
章
中
,
我
们
将
跟
大
家
介
绍
)
产
品
日
趋
成
熟
,
红
队
也
必
须
随
之
每
日
俱
进
。
在
这
篇
文
章
中
,
我
们
将
跟
大
家
介
绍
F
i
r
e
E
y
e
M
a
n
d
i
a
n
t
红
队
红
队
研
究
人
员
研
究
人
员
如
何
通
过
构
造
特
殊
如
何
通
过
构
造
特
殊
P
a
y
l
o
a
d
来
绕
过
现
代
来
绕
过
现
代
E
D
R
产
品
,
并
获
取
到
目
标
系
统
的
完
整
命
令
控
制
访
问
权
。
产
品
,
并
获
取
到
目
标
系
统
的
完
整
命
令
控
制
访
问
权
。
S
h
e
l
l
c
o
d
e
注
入
或
S
h
e
l
l
c
o
d
e
执
行
往
往
是
我
们
在
目
标
系
统
上
实
现
P
a
y
l
o
a
d
执
行
的
最
优
方
法
,
那
么
什
么
是
S
h
e
l
l
c
o
d
e
呢
?
M
i
c
h
a
e
l
S
i
k
o
r
s
k
i
将
其
定
义
为
:
“
用
于
描
述
任
何
自
包
含
可
执
行
代
码
的
术
语
”
。
大
多
数
商
业
渗
透
测
试
框
架
,
比
如
说
E
m
p
i
r
e
、
C
o
b
a
l
t
S
t
r
i
k
e
或
M
e
t
a
S
p
l
o
i
t
,
它
们
都
内
置
有
S
h
e
l
l
c
o
d
e
生
成
器
,
而
这
种
S
h
e
l
l
c
o
d
e
生
成
器
一
般
都
是
二
进
制
或
十
六
进
制
格
式
,
具
体
需
要
取
决
于
用
户
是
将
其
以
原
始
输
出
还
是
应
用
源
码
的
形
式
生
成
的
。
我
们
为
什
么
要
使
用
我
们
为
什
么
要
使
用
S
h
e
l
l
c
o
d
e
呢
?
呢
?
对
于
P
a
y
l
o
a
d
类
型
来
说
,
S
h
e
l
l
c
o
d
e
所
能
带
来
的
灵
活
性
非
常
高
。
S
h
e
l
l
c
o
d
e
可
以
使
用
多
种
编
程
语
言
来
编
写
,
而
且
这
些
语
言
可
以
跟
很
多
类
型
的
P
a
y
l
o
a
d
进
行
整
合
。
除
此
之
外
,
S
h
e
l
l
c
o
d
e
的
这
种
灵
活
性
允
许
我
们
根
据
需
求
并
在
任
何
环
境
下
构
建
定
制
的
P
a
y
l
o
a
d
。
因
为
S
h
e
l
l
c
o
d
e
可
以
直
接
以
P
a
y
l
o
a
d
作
为
载
体
运
行
,
或
注
入
到
任
何
正
在
运
行
的
进
程
中
,
我
们
就
可
以
使
用
多
种
技
术
来
躲
避
E
D
R
产
品
的
检
测
了
,
这
些
技
术
包
括
S
h
e
l
l
c
o
d
e
代
码
混
淆
、
编
码
以
及
加
密
等
等
,
这
样
可
以
大
幅
增
加
商
业
E
D
R
产
品
的
检
测
难
度
。
在
这
篇
文
章
中
,
我
们
将
介
绍
如
何
使
用
下
列
三
种
方
法
来
隐
蔽
地
运
行
S
h
e
l
l
c
o
d
e
:
1
、
C
r
e
a
t
e
T
h
r
e
a
d
2
、
C
r
e
a
t
e
R
e
m
o
t
e
T
h
r
e
a
d
3
、
Q
u
e
u
e
U
s
e
r
A
P
C
其
中
的
每
一
项
技
术
都
会
对
应
一
个
W
i
n
d
o
w
s
A
P
I
函
数
,
而
这
些
函
数
将
会
负
责
分
配
S
h
e
l
l
c
o
d
e
的
执
行
线
程
,
并
最
终
实
现
S
h
e
l
l
c
o
d
e
的
运
行
。
C
r
e
a
t
e
T
h
r
e
a
d
主
要
负
责
S
h
e
l
l
c
o
d
e
的
执
行
,
C
r
e
a
t
e
R
e
m
o
t
e
T
h
r
e
a
d
和
Q
u
e
u
e
U
s
e
r
A
P
C
主
要
负
责
S
h
e
l
l
c
o
d
e
的
注
入
。
C
r
e
a
t
e
T
h
r
e
a
d
工
作
流
程
工
作
流
程
1
、
为
当
前
进
程
分
配
内
存
;
2
、
将
S
h
e
l
l
c
o
d
e
拷
贝
到
分
配
的
内
存
中
;
3
、
修
改
新
分
配
内
存
的
保
护
机
制
,
以
允
许
S
h
e
l
l
c
o
d
e
在
内
存
空
间
中
运
行
;
4
、
使
用
已
分
配
内
存
段
的
基
地
址
创
建
线
程
;
5
、
等
待
返
回
线
程
句
柄
;
C
r
e
a
t
e
R
e
m
o
t
e
T
h
r
e
a
d
1
、
获
取
目
标
注
入
进
程
的
进
程
I
D
;
2
、
打
开
目
标
进
程
;
3
、
在
目
标
内
存
中
分
配
可
执
行
内
存
;
4
、
将
S
h
e
l
l
c
o
d
e
写
入
到
已
分
配
内
存
中
;
5
、
使
用
已
分
配
内
存
段
的
起
始
地
址
在
远
程
进
程
中
创
建
一
个
线
程
;
Q
u
e
u
e
U
s
e
r
A
P
C
1
、
获
取
目
标
注
入
进
程
的
进
程
I
D
;
2
、
打
开
目
标
进
程
;
3
、
为
目
标
进
程
分
配
内
存
;
4
、
向
已
分
配
内
存
中
写
入
S
h
e
l
l
c
o
d
e
;
5
、
修
改
新
分
配
内
存
的
保
护
机
制
,
以
允
许
S
h
e
l
l
c
o
d
e
在
内
存
空
间
中
运
行
;
6
、
使
用
已
分
配
内
存
段
的
起
始
地
址
在
远
程
进
程
中
创
建
一
个
线
程
;
7
、
当
线
程
进
入
“
预
警
”
状
态
时
,
将
线
程
提
交
至
执
行
队
列
;
8
、
将
线
程
恢
复
至
“
预
警
”
状
态
;
命
令
执
行
命
令
执
行
大
家
先
停
一
下
,
我
们
整
理
一
下
:
1
、
恶
意
代
码
就
是
我
们
的
S
h
e
l
l
c
o
d
e
-
s
t
a
g
e
0
或
s
t
a
g
e
1
代
码
是
真
正
执
行
恶
意
操
作
的
代
码
。
2
、
标
准
的
“
S
h
e
l
l
c
o
d
e
运
行
程
序
”
会
通
过
注
入
或
直
接
执
行
的
方
式
来
运
行
恶
意
代
码
。
接
下
来
,
我
们
还
需
要
一
种
执
行
已
编
译
代
码
的
方
法
,
一
般
来
说
,
我
们
可
以
通
过
可
执
行
程
序
(
e
x
e
)
或
动
态
链
接
库
(
D
L
L
)
来
实
现
,
不
过
红
队
研
究
人
员
更
愿
意
使
用
l
o
l
b
i
n
s
命
令
来
执
行
。
信
息
整
合
信
息
整
合
我
们
将
开
发
一
个
S
h
e
l
l
c
o
d
e
运
行
工
具
(
D
L
L
)
,
它
可
以
利
用
l
o
l
b
i
n
s
实
现
,
并
且
可
以
在
不
需
要
更
新
代
码
库
的
情
况
下
实
现
注
入
式
或
非
注
入
式
的
S
h
e
l
l
c
o
d
e
,
以
此
来
保
证
灵
活
性
。
完
成
之
后
,
我
们
将
得
到
一
个
名
叫
D
u
e
D
l
l
i
g
e
n
c
e
的
C
#
S
h
e
l
l
c
o
d
e
运
行
程
序
,
源
代
码
可
以
进
入
【
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
f
i
r
e
e
y
e
/
D
u
e
D
L
L
i
g
e
n
c
e
】
获
取
。
D
u
e
D
l
l
i
g
e
n
c
e
项
目
可
以
快
速
地
在
之
前
提
到
的
技
术
之
间
进
行
切
换
,
我
们
只
需
要
修
改
下
图
中
的
全
局
变
量
值
即
可
:
D
u
e
D
L
L
i
g
e
n
c
e
D
L
L
包
含
三
个
非
托
管
的
导
出
函
数
,
这
三
个
导
出
函
数
使
用
了
R
a
s
a
u
t
o
u
,
C
o
n
t
r
o
l
,
和
C
o
r
e
g
e
n
这
三
个
原
生
的
W
i
n
d
o
w
s
命
令
(
本
文
所
使
用
的
S
h
e
l
l
c
o
d
e
样
本
只
会
弹
出
c
a
l
c
.
e
x
e
)
:
打
开
源
代
码
之
后
,
你
会
发
现
样
本
使
用
了
下
列
导
出
函
数
:
首
先
,
我
们
要
生
成
我
们
的
S
h
e
l
l
c
o
d
e
,
下
图
中
,
我
们
使
用
了
C
o
b
a
l
t
S
t
r
i
k
e
来
生
成
“
r
e
v
_
d
n
s
”
监
听
器
的
原
始
S
h
e
l
l
c
o
d
e
。
完
成
之
后
,
我
们
需
要
在
L
i
n
u
x
中
运
行
下
列
命
令
来
生
成
b
a
s
e
6
4
编
码
版
本
的
S
h
e
l
l
c
o
d
e
:
接
下
来
,
我
们
需
要
用
b
a
s
e
6
4
编
码
的
我
们
自
己
的
x
8
6
或
x
6
4
P
a
y
l
o
a
d
替
换
第
5
8
行
的
b
a
s
e
6
4
编
码
的
S
h
e
l
l
c
o
d
e
,
上
图
中
我
们
生
成
了
一
个
x
8
6
P
a
y
l
o
a
d
,
有
需
要
的
话
你
可
以
修
改
“
u
s
e
x
6
4
P
a
y
l
o
a
d
”
来
生
成
一
个
x
6
4
P
a
y
l
o
a
d
。
此
时
,
我
们
需
要
重
新
安
装
D
u
e
D
L
L
i
g
e
n
c
e
(
V
i
s
u
a
l
S
t
u
d
i
o
项
目
)
中
的
未
托
管
导
出
库
,
,
因
为
有
时
当
你
使
用
不
同
的
项
目
时
,
可
能
会
导
致
D
u
e
D
L
L
i
g
e
n
c
e
项
目
出
现
问
题
。
你
可
以
打
开
N
u
G
e
t
包
管
理
终
端
,
然
后
运
行
下
列
命
令
:
b
a
s
e
6
4
-
w
0
p
a
y
l
o
a
d
.
b
i
n
>
[
o
u
t
p
u
t
F
i
l
e
N
a
m
e
]
I
n
s
t
a
l
l
-
P
a
c
k
a
g
e
U
n
m
a
n
a
g
e
d
E
x
p
o
r
t
s
-
V
e
r
s
i
o
n
1
.
2
.
7
c
o
m
m
a
n
d
完
成
上
述
所
有
操
作
之
后
,
需
要
构
建
源
码
和
D
L
L
。
V
i
s
u
a
l
S
t
u
d
i
o
P
r
o
自
带
的
D
u
m
p
b
i
n
.
e
x
e
可
以
帮
助
我
们
运
行
和
测
试
生
成
的
D
L
L
,
并
查
看
导
出
函
数
:
我
们
可
以
使
用
其
他
的
l
o
l
b
i
n
技
术
来
扩
展
上
图
中
的
导
出
函
数
列
表
,
不
过
大
家
尽
量
把
不
需
要
使
用
的
移
除
掉
以
减
小
P
a
y
l
o
a
d
的
体
积
。
S
h
e
l
l
c
o
d
e
注
入
技
术
的
现
代
检
测
方
法
注
入
技
术
的
现
代
检
测
方
法
尽
管
S
h
e
l
l
c
o
d
e
可
以
帮
助
我
们
规
避
检
测
,
但
还
是
有
可
能
被
检
测
到
的
,
下
面
我
们
来
分
析
几
种
进
程
注
入
技
术
。
在
我
们
的
S
h
e
l
l
c
o
d
e
运
行
程
序
中
,
S
h
e
l
l
c
o
d
e
注
入
技
术
(
C
r
e
a
t
e
R
e
m
o
t
e
T
h
r
e
a
d
和
Q
u
e
u
e
U
s
e
r
A
P
C
)
会
以
挂
起
状
态
生
成
一
个
进
程
,
然
后
向
目
标
进
程
中
注
入
S
h
e
l
l
c
o
d
e
。
比
如
说
,
我
们
选
择
e
x
p
l
o
r
e
r
.
e
x
e
来
作
为
注
入
目
标
,
我
们
的
P
a
y
l
o
a
d
将
通
过
M
S
I
E
x
e
c
来
运
行
。
之
后
会
生
成
一
个
进
程
树
,
c
m
d
.
e
x
e
将
生
成
m
s
i
e
x
e
c
.
e
x
e
,
并
最
终
生
成
e
x
p
l
o
r
e
r
.
e
x
e
。
在
企
业
环
境
中
,
可
以
使
用
S
I
E
M
来
收
集
遥
测
数
据
,
以
检
测
c
m
d
.
e
x
e
-
>
m
s
i
e
x
e
c
.
e
x
e
-
>
e
x
p
l
o
r
e
r
.
e
x
e
进
程
树
的
执
行
情
况
。
根
据
父
-
子
进
程
的
关
系
,
防
御
端
可
以
通
过
异
常
检
测
来
识
别
潜
在
的
恶
意
软
件
。
A
P
I
钩
子
是
E
D
R
和
反
病
毒
产
品
常
用
的
恶
意
软
件
检
测
技
术
,
很
多
攻
击
者
会
使
用
类
似
P
s
S
e
t
C
r
e
a
t
e
P
r
o
c
e
s
s
N
o
t
i
f
y
R
o
u
t
i
n
e
(
E
x
)
和
P
s
S
e
t
C
r
e
a
t
e
T
h
r
e
a
d
N
o
t
i
f
y
R
o
u
t
i
n
e
(
E
x
)
这
样
的
内
核
程
序
来
实
现
攻
击
。
当
进
程
注
入
发
生
时
,
一
个
进
程
会
修
改
另
一
个
进
程
地
址
空
间
中
的
内
存
保
护
机
制
,
通
过
检
测
类
似
A
P
I
的
调
用
情
况
,
随
着
红
队
和
恶
意
攻
击
者
继
续
开
发
新
的
进
程
注
入
技
术
,
网
络
防
御
人
员
以
及
安
全
软
件
需
要
继
续
适
应
不
断
变
化
的
环
境
。
监
视
诸
如
v
i
r
t
u
a
l
A
l
l
o
c
e
x
、
v
i
r
t
u
a
l
P
r
o
t
e
c
t
E
x
、
c
r
e
a
t
e
R
e
m
o
t
e
T
h
r
e
a
d
和
n
t
Q
u
e
u
e
A
P
C
T
h
r
e
a
d
之
类
的
W
i
n
d
o
w
s
A
P
I
函
数
调
用
可
以
为
识
别
潜
在
恶
意
软
件
提
供
有
价
值
的
数
据
。
除
此
之
外
,
监
视
c
r
e
a
t
e
p
r
o
c
e
s
s
与
c
r
e
a
t
e
_
s
u
s
p
e
n
d
e
d
和
c
r
e
a
t
e
_
h
i
d
d
e
n
标
志
的
使
用
可
能
有
助
于
检
测
攻
击
者
要
注
入
的
挂
起
或
隐
藏
的
进
程
。
总
结
总
结
使
用
S
h
e
l
l
c
o
d
e
作
为
红
队
研
究
过
程
中
P
a
y
l
o
a
d
感
染
的
最
后
阶
段
,
不
仅
可
以
方
便
研
究
人
员
在
各
种
各
样
的
目
标
环
境
中
执
行
P
a
y
l
o
a
d
,
而
且
还
可
以
实
现
安
全
产
品
的
规
避
。
D
u
e
D
L
L
i
g
e
n
c
e
S
h
e
l
l
c
o
d
e
运
行
程
序
是
一
个
动
态
工
具
,
它
可
以
给
红
队
研
究
人
员
提
供
一
种
“
现
成
”
的
安
全
产
品
规
避
方
法
。
*
参
考
来
源
:
参
考
来
源
:
f
i
r
e
e
y
e
,
,
F
B
小
编
小
编
A
l
p
h
a
_
h
4
c
k
编
译
,
转
载
请
注
明
来
自
编
译
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
精
彩
推
荐
精
彩
推
荐
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT