UrbanBishopLocal 描述 项目的端口,用于内联shellcode执行。 执行向量在UrbanBishop中的ntdll!RtlExitUserThread处的悬浮威胁中使用委托与APC NtCreateSection用于创建一个节对象 NtMapViewOfSection创建一个具有RW权限的剖视图,我们可以将shellcode写入 Shellcode被写入截面视图 第二次调用NtMapViewOfSection会创建一个具有RX权限的剖面图 指向shellcode基址的指针将转换为委托并执行 用法 Base64使用PowerShell对XOR加密的64位shellcode进行编码[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("$PSScriptRoot\encrypted_shellcode.bin"))