哈希隐藏所有函数名，联网到硬编码 C2，下载 XOR 加密的下一阶段并在内存中直接执行，为远控恶意模块有点类似反射加载dll。
免费评分
参与人数 3吾爱币 +3热心值 +3收起理由 junjia215+ 1+ 1用心讨论，共获提升！ smjp+ 1+ 1我很赞同！ UUoh+ 1+ 1谢谢@Thanks！查看全部评分收藏5 淘帖 有用1 分享到朋友圈
发帖前要善用【论坛搜索】功能，那里可能会有你要找的答案或者已经有人发布过相同内容了，请勿重复发帖。
回复举报

ctcaozhe

推荐
楼主| 发表于 2025-8-1 11:31 |楼主
temls 发表于 2025-8-1 10:29mov ax, rsp是啥意思？是指mov rax, rsp吧，ax是16位寄存器，rsp是64位寄存器，直接mov是会有问题的。汇编的话，单独来看意思是没有什么特殊的含义的，需要结合上下文一起来看正常来说的化mov rax, rsp是保存一下当前栈顶指针或者用push来保存，但后面又被mov rax, qword ptr gs:loc_5C+4覆盖掉了，所以这行代码没有实际作用，具体可以看下面的代码片段。
纯文本查看 复制代码
?010203040506070809101112seg000:000000000000045C mov rax, rspseg000:000000000000045F mov , rbxseg000:0000000000000463 mov , rbpseg000:0000000000000467 mov , rsiseg000:000000000000046B mov , rdiseg000:000000000000046F pushr14seg000:0000000000000471 sub rsp, 10hseg000:0000000000000475 mov rax, qword ptr gs:loc_5C+4seg000:000000000000047E mov ebp, ecxseg000:0000000000000480 xor r14d, r14dseg000:0000000000000483 mov rdx, seg000:0000000000000487 mov r8, 这里主要是shellcode，所以没有通用性，我这边拓展一下举个简单的例子作为堆栈提升然后恢复的部分，用的是我以前学习的实验，所以寄存器都是32位寄存器，每一行我都做了详细的备注：c代码如下：
纯文本查看 复制代码
?12345678int plus(int x, int y) {return x + y;}int main(){plus(1, 2);return 0;}汇编代码如下：
纯文本查看 复制代码
?