的 Stage-2 Shellcode，不落地文件，纯内存执行。
退出 Loader如果第二阶段代码返回，则恢复之前保存的寄存器并 retn；否则进程控制权彻底交给后续载荷。
这是一个只有 0x56C 字节的Stage-0 TCP Loader：通过 API 哈希隐藏所有函数名，联网到硬编码 C2，下载 XOR 加密的下一阶段并在内存中直接执行，为远控恶意模块有点类似反射加载dll。