shellcode是一段可以直接在内存运行的二进制代码，执行shellcode的流程是首先申请一段可读可写可执行的内存，然后将这段代码复制到内存中，最后将eip指向内存的的首地址，即可完成运行。

反思与复盘。每天，每周，每月，每年都要思考一下，自己做的有哪些好与不好，记录自己情绪和思考过程。反思与复盘有两个作用：自己的失误可以及时纠正，不再重犯；自己的成功可以进行复制，变成人生沉淀。

之后为了对付混淆，人们把视野放到了统计学上，通过统计文本熵，字符串长度，特殊符号个数，重合指数，压缩比等信息制定告警阈值，在对付混淆上有一定的威力。之后随着机器学习的兴起，阈值设置就交给了算法。

线程环境块）中保存频繁使用的线程相关的数据。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式，PEB（进程环境块）存放进程信息，每个进程都有自己的PEB信息。

将exe转化为shellcode，转化后的文件依然是完整的PE文件，不仅可以单独运行，也可以通过shellcode的方式运行。在项目的release页面，根据自身的系统下载runshc

其实是在/dev/shm创建文件，而execve的执行文件为/proc/self/fd/3，为进程中打开的文件符号链接，这个指向的就是shm_open创建的文件，但是从监控execve的角度来说，

strace不光能追踪系统调用，通过使用参数-c，它还能将进程所有的系统调用做一个统计分析给你，这次我们执行带-c参数的strace

方法1：glibc/libc是linux中常用的动态链接库，也就是说在动态链接程序的时候才会用到它，那么我们只需要将木马后门进行静态编译即可，不依赖系统中的glibc/libc执行，就不会被劫持。

协议号是NETLINK_CONNECTOR，其代码位于:https://github.com/torvalds/linux/tree/master/drivers/connector其中

前言这次文章的主要内容是一次内部技术分享的内容，主要是关于安全通信的威胁建模，设计方案以及算法，其中涉及https。一定要记得点好看哈。通信的安全威胁与诉求在讲解安全通信的方案之前，我们必须要知道通信有哪些安全威胁以及诉求，这样我们才能“对症下药”。根据微软提出的STRIDE威胁模型作为依据：Spoofing（伪装）Tampering（篡改）Repudiation（抵赖）Information

listified_tokenizer(code)print(tokens_list)enumerate_keyword_args(tokens_list)混淆后的效果#!/usr/bin/env

或者lzma即可。zip执行原理可能很多朋友不知道，Python是可以直接运行zip文件的(特别的)，主要是为了方便开发者管理和发布项目。Python能直接执行一个包含

讲解一下core目录下的cmd.py和webserver.py文件。cmd.py中介绍了6种命令，但其中show命令没有实现。list命令用于列举所有的受控端，use命令用来与受控端进行交互。

str.__dict__["dec"+"ode"]('aW1wb3J0IG1hdGg7YT0xMDtiPW1hdGgubG9nKGEpO3ByaW50KGIpOwo=','base64')

与port2，木马的客户端运行在主机B，分别主动连接主机B的22端口和主机C的port2,而hacker只需要主动连接主机C的port1,这样就打通了到主机B

在执行系统调用之前，内核会先检查当前进程是否处于被“跟踪”(traced)的状态。如果是的话，内核暂停当前进程并将控制权交给跟踪进程，使跟踪进程得以察看或者修改被跟踪进程的寄存器。

动态检测是沙箱的核心部分，但是本篇不展开讲解，在下一篇进行详细分析，因为动态检测的原理比较复杂。动态检测的内容在dynamic目录下的dynamic_analyzer.py文件里。

动态检测是沙箱的核心部分，但是本篇不展开讲解，在下一篇进行详细分析，因为动态检测的原理比较复杂。动态检测的内容在dynamic目录下的dynamic_analyzer.py文件里。

今天给大家分享一下webshell指纹这个知识点，这个主要是制作webshell样本库，用来对已知样本进行快速防御，快速发现，主要是对付一些工具小子和初级黑客(毕竟不会自己写代码)。