目录

• PE文件结构


• 技术分析
  
  
  
  • 伪装检测邮件技术
  
  
  • 线程创建与Shellcode加载
  
  
  • CS Stager Shellcode详解
  
  
  
  

PE文件结构

PE (Portable Executable) 文件是Windows操作系统中可执行文件的标准格式。它包含了一系列的头部信息和节区，这些信息对于程序的加载和运行至关重要。

技术分析

伪装检测邮件技术

在恶意软件传播过程中，伪装成合法邮件是一种常见的手段。通过分析邮件内容及其附件，可以有效识别潜在的威胁。

线程创建与Shellcode加载

• 动态加载函数
  

  为了逃避静态分析，恶意软件通常会采用动态加载的方式调用系统API。
  



• 通过GetTickCount进行反沙箱及反调试
  

  GetTickCount函数常被用于检测是否处于沙箱环境或被调试状态，以决定是否继续执行恶意代码。
  



• 通过UUID加载Shellcode
  

  使用UUID作为加载点，可以增加代码的隐蔽性和复杂性，提高逃避检测的能力。
  
  
  

CS Stager Shellcode详解

CS (Cobalt Strike) 是一款流行的渗透测试工具，其Stager功能能够生成小型的Shellcode，用于下载并执行更大的载荷。