Exe的进程id信息，然后通过当前进程的pid信息在进程快照中找到其父进程的id信息，最后将两者进行比较，判断当前进程是否是有人工启动的。 云山雾隐安全实验室常用的手段是加密shellcode，可用的加密方法有很多，如：直接使用aes、des、xor、base64、hex等方法进行加密或自写加密，仅需把shellcode特征去除即可。我们比较偏向用xor，主要是加密效果不错，无需引入额外的包；用Go写的loader体积本就比较大，若再引入几... https://freemanh208cks5.blogunteer.com/profile