项目地址https://github.com/ByPassAVTeam/ShellcodeLoader 项目已下架，从网上获取的样本包含两个文件，如下 测试使用msfvenom工具生成一个弹计算器的shellcode.bin文件 1msfvenom -p windows/exec cmd=calc.exe -f raw -o shellcode.bin 执行LoaderMaker.exe程序，

1. 安装Visual Studio Installer Project在扩展-管理扩展-联机中，搜索Microsoft Visual Studio Installer Project，下载安装 2.新建Setup Project右键解决方案，选择添加-新增项目，选择Setup Project 点击下一步 可以修改名称和位置，点创建 3.开始打包右键Application Folder，选

前记打算学习一下python GUI编程 本来打算使用PyQt5，结果发现Qt Design默认的控件太少了（pywebview也可以） 转而使用python自带的Tkinter模块 程序功能 计算文件Hash，包括文件大小、md5、sha-1、sha-256）； 通过virustotal api和微步API获取文件的一些基本信息，包括检测比（恶意/未检出）、卡巴斯基分类、文件类型、P

样本信息 文件名 山西***有限公司-2017-1104.exe MD5 2EB5D76180CE7B3241B281FA79AB3483 SHA1 06293DEA80E39C7EB7EE2BDB00D60B58D932FA8A CRC32 541BE22A 文件大小 680,511字节 病毒类型 Trojan.Win32.Hesv.cmsm 由此可知，该病

网上关于ELF病毒分析的资料太难找了，也很不成体系，其实也能理解，毕竟linux系统占有量太少了，市面上还是windows偏多。自己总结一下省的下次手足无措 ELF文件介绍可执行与可链接格式 (Executable and Linkable Format，ELF)，常被称为ELF格式，是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件的文件格式，ELF目前已经成为UNIX和类UN

以前曾经用过proxy_pool搭过代理池，但是大部分爬来的代理都不怎么好用就果断放弃了 最近看使用一篇文章感觉挺靠谱的，也临近HVV，就自己搭着试了试，效果也不错 https://blog.csdn.net/qq_45244158/article/details/122945753 背景云函数云函数（Serverless Cloud Function，SCF）是云计算厂商为企业和开发者们提供的无

psexec介绍impacket 是用于处理网络协议的Python类的集合,该集合包含了渗透测试中常见的工具种类,包括远程命令执行、信息收集、票据传递、凭据获取、中间人攻击测试等。 工具描述详见https://www.secureauth.com/labs/open-source-tools/impacket/ psexec.py 是impacket套件中进行远程连接，执行shell命令，并返回处

背景捕获到一个纯vbs脚本病毒 包含一个autorun.inf文件和一个Thumb.db文件，两个文件均为隐藏的受保护的操作系统文件（只读）。 autorun.inf MD5:080d8ef2430b49f991b460abf4af5156 Thumb.db MD5:0a456ffff1d3fd522457c187ebcf41e4 autorun.infautorun.inf常见于可移动介质传

捕获到的宏病毒样本，可以通过拼接字符串生成exe，比较老的蠕虫病毒，分析如下： 宏样本分析核心功能宏代码通过感染office文件及宏模板进行传播，执行后会在系统的Temp文件夹下生成“bk_****.tmp”文件并调用，最终生成blackice.exe 宏代码分析拼接将要写入tmp文件的字符串 获取系统Temp文件夹路径，随机生成tmp文件的名字（格式为“bk_****.tmp”），并创建与之

前两天无意看到某公众号推送的文章 https://www.freebuf.com/news/333958.html 看起来是外文搬运，PDF文件似曾相识，在某客户单位的监测设备上看到过，再拿出来瞧瞧 外文原文 当时就感觉很有意思，原理很简单，但是静态免杀效果很好，截至今天卡巴和火绒都免杀，虽然运行起来大概率会被杀 其实就是很简单的PDF嵌入，执行JS代码(exportDataObject)