如果防御人员对后端业务逻辑和代码没有比较深入的掌握，大概率无法查出内存马的，哪怕借助工具也很难查杀 avoidz 是一个比较使用比较简单的小工具，利用 msf 生成 powershell �?shellocde，然后利�?c#、python、go、ruby 等语言�?shellcode 进行编译生成 exe 而达到免杀的效果，套路比较简单，静态检测查杀率还算可以，但行为检测就很容易被查杀出来，和 TheFatRat 具有相同的缺陷。倒是可以借鉴下他的原理，自己写个... https://miriamf029els5.blogofchange.com/profile