colorcpl
C:\Windows\System32\colorcpl.exe
可以把类似powershell.exe/cmd.exe等等受监控的进程复制出来启动 类似于copy
作用
copy被拦截的情况下去使用
有时候copy重命名之类可以绕过杀软
复制后的文件目录为
C:\windows\system32\spool\drivers\color
WorkFolders
一个新的lolbin
wrokFolders.exe调用ShellExecute()会执行当前目录下的control.exe
突破大文件上传
普通的压缩/解压文件
把 fscan.exe 压缩成 fscan.7z,压缩密码为『aaaa』
7z.exe a -paaaa fscan.7z fscan.exe
把 fscan.7z 解压成 fscan.exe
7z.exe x -paaaa fscan.7z
把 fscan.exe 以 500 K 大小进行分卷压缩。
7z.exe a -paaaa -v500k fscan.7z fscan.exe
把 fscan.7z 解压成 fscan.exe
7z.exe x -paaaa fscan.7z.001
分割文件
split -b 500k fscan.exe aaaa
cat aaaa* > fscan # 适用于 Linux、Maccopy /b aaaa* fscan.exe # 适用于 Windows
若有收获,就点个赞吧
0 人点赞
