获取当前机器环境变量 [ 主要想看看⽬标机器上有⽆python,jdk,ruby...等语⾔的执⾏环境,后期可设法利⽤ ] 获取当前系统所有本地⽤户及组列表 获取当前系统host⽂件内容 获取当前机器硬件设备信息[ 主要为判断当前机器是否为虚拟机 ] 远程截屏捕捉⽬标⽤户敏感操作 由于上述⼤部分的搜集动作都是基于系统内置⼯具和接⼝,故,可完全依靠EDR来实时捕捉各类敏感进程上报恶意操作 也有商业壳 ] 最好的⽅式还是尝试⾃⼰写壳,就是成本较⾼ ... 动态 反射 shellcode 内存加解密执⾏ ( 对于现在的某些杀软来讲,可能并没什么卵⽤,别⼈拦的基本都是你的最终调⽤ ) ⽩利⽤ ...... 注: 理论上, 这些应该也没有什么⾮常通⽤的⽅法 ⼤多还是事先针对特定的杀软针对性的不停调试分析出它到底怎么拦,怎么查的,然后再针对性的对症下药