动态加载.NET程序集这个东西应该也有不少人知道利用.NET反射实现动态的加载。
我在这里就随便写写。
利用这句就可以实现动态加载.NET的程序集
1 | Reflection.Assembly.Load().EntryPoint.Invoke(Nothing, Nothing) |
首先我们可以通过网络传输.NET程序集这样是无法直接检测的,同时为了保证传输不被检测我们则可以使用加密分段传输的方式这样可以进一步保证免杀。然后在内存中将分段的程序集拼接随后解密加载执行达到绕过杀软的目的。
基本思路就是这样。
关于shellcode同理也可以这样处理,具体免杀方法还是要结合目标环境情况等等一般情况主要是思路还是分离