//https://www.cnblogs.com/Meteor-Kai/articles/18473549这篇文章不错

1. 文件头签名
   UPX! 或 UPX0、UPX1、UPX2
2. 独特的节区名称
   UPX 处理后的 PE 文件通常包含特征明显的节区：
   UPX0 - 通常包含解压后的代码
   UPX1 - 包含压缩的数据
   UPX2 - 在某些版本中使用
3. 入口点代码模式
   UPX 壳的入口点有特定的汇编指令模式：
   assembly
   pushad ; 保存所有寄存器
   ; ... 解压代码 ...
   popad ; 恢复所有寄存器
   PUSHAD 可能被改为等价的指令序列（如多个PUSH指令），或者被垃圾指令包围，但核心逻辑仍在。你会看到在保存寄存器后，紧接着是一大段复杂的循环、异或操作、MOV指令等，这符合解压代码的特征。
   PUSHAD 将所有寄存器压栈，导致ESP变化。解压代码通常不会在中间频繁操作栈，但在解压结束、执行 POPAD 之前，一定会恢复栈指针（之后的代码就是原始代码）。为了找到OEP，我们在PUSHAD（或多个PUSH保存寄存器操作）之后，对当前栈顶的内存地址下一个硬件断点即可。这个原理对许多UPX变种都有效。
4. 资源结构异常
   UPX 压缩的文件通常：
   资源段很小或异常
   原始程序的资源被压缩到数据段中
   导入表被压缩和重建
5. 动态行为分析
   在沙箱环境中运行程序并观察行为：
   内存解压模式：监控进程在运行时是否大量修改自身内存
   API 调用序列：检测典型的解压壳行为模式
   代码自修改：监控程序是否在运行时生成或修改可执行代码

绕过监测的技术：

1. 修改 UPX 特征
   重命名 UPX! 签名和节区名称
   修改入口点代码模式
   使用自定义编译的 UPX 版本
2. 多层加壳
   使用多个不同的加壳工具依次加壳：
   text
   原始程序 → UPX压缩 → 其他壳压缩 → 最终文件
3. 加壳后修改
   在 UPX 压缩后手动修改文件，破坏特征签名但保持功能完整。
4. 使用保护壳而非压缩壳
   使用 Themida、VMProtect 等高级保护壳，它们提供：
   1）反调试技术
   2）代码虚拟化
   3）更强的加密

UPX魔改对抗可看Linux | UPX变形壳脱壳Tips /// Linux | UPX变形壳脱壳Tips(Bak)

结构化数据是指按照一定的规则或格式组织存储的数据，例如数据库中的表格、电子表格、XML文件等。结构化数据具有以下特点：

易于查询和分析。由于结构化数据有明确的字段、类型和关系，可以使用标准的语言（如SQL）或工具（如Excel）进行快速有效的查询和分析。占用空间较小。由于结构化数据避免了重复和冗余的信息，可以节省存储空间。需要预定义模式。为了实现结构化存储，需要事先定义好数据的模式（schema），即确定好每个字段的名称、类型、长度等属性。这样做可以保证数据的一致性和完整性，但也限制了数据的灵活性和扩展性。
非结构化数据是指没有固定格式或规则组织存储的数据，例如文本、图像、音频、视频等。非结构化数据具有以下特点：

难以查询和分析。由于非结构化数据没有统一的字段、类型和关系，不能直接使用标准的语言或工具进行查询和分析。需要使用特定的方法（如自然语言处理、计算机视觉等）提取出有效信息。占用空间较大。由于非结构化数据包含了大量无关或冗余信息，占用了更多存储空间。不需要预定义模式。非结构化数据不受任何模式约束，可以随意添加或修改任何内容。这样做可以提高了灵活性和扩展性，但也降低了一致性和完整性。
半结构化数据是一种介于结构化数据和非结构化数据之间的数据类型，它不符合传统的关系型数据库或表格的格式，但是有一定的组织和规则，可以用标记、标签、键值对等方式表示数据的层次和语义。半结构化数据在现实生活中很常见，例如XML、JSON、HTML等文件格式，以及日志、电子邮件、社交媒体等文本信息。

半结构化数据相比于结构化数据，具有更大的灵活性和可扩展性，可以适应不同的场景和需求，不受固定模式或架构的限制。半结构化数据也相比于非结构化数据，具有更高的可读性和可处理性，可以通过一些工具或方法提取出有用的信息和知识，进行分析和挖掘。

工具集：https://github.com/x0rz/EQGRP_Lost_in_Translation
Fuzzbunch: https://github.com/fuzzbunch/fuzzbunch

EQGRP_Lost_in_Translation中：

EXPLODINGCAN 是 IIS 5/6 远程漏洞利用工具
ETERNALROMANCE 是 SMB1 的重量级利用，可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限，漏洞编号为MS17-010，已于 2017 年 3 月修复。
除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器，且基本都已修复于 2017 年 3 月。
ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具，可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。
FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具，漏洞编号为MS08-067，修复于2008年。
ESKIMOROLL 是 Kerberos 的漏洞利用攻击，可以攻击开放了 88 端口的 Windows 2000/2003/2008/2008 R2 的域控制器，漏洞编号为MS14-068，修复于2014年。

常用的，DarkPulsar 是一个用户空间的后门程序，而 DoublePulsar 是一个内核级别的后门。
检测：https://github.com/WithSecureLabs/doublepulsar-detection-script
NSA这个工具集对内网很好用，而且用python写的很好改，感觉用的人也不多。

31 C0
40 90
74 08

这段shellcode很神奇在32/64bit下反编译效果正好相反

#32bit始终不会跳转Function
31 C0        xor eax, eax
40           inc eax
90           nop
74 08        je Function
#64bit始终会跳转Function
31 C0        xor eax, eax
40 90        xchg eax, eax
74 08        je Function

I found something interesting.

-，前面加\之后，-会被转义，\不会显示出来；而有些字符，如<>前面加\，虽然也能将<>转义，但是\也会被显示出来？

这是因为 Markdown 中的转义规则不同。Markdown 使用反斜杠（\）作为转义字符，用于将特殊字符标记为普通字符。

对于一些特殊字符，如 \, *, _, [, ], (, ), {, }, #, +, -, ., ! 等，它们在 Markdown 中具有特殊的语法含义。如果您想要将它们显示为普通字符而不是特殊符号，可以在它们前面加上反斜杠进行转义。
例如，\- 表示输出一个连字符而不是列表项，\* 表示输出一个星号而不是斜体标记。这些转义符号将被解析为其后的字符，并将其显示为普通文本。

然而，对于一些字符，如 <, >，由于安全性考虑，在 Markdown 中的转义规则更严格。即使您在其前面加上反斜杠进行转义，它们仍然会被解析为 HTML 标签或特殊字符。这是为了防止潜在的 HTML 注入攻击。
所以，当您在 Markdown 中使用 \ 转义 < 或 > 字符时，您会注意到 \ 也被显示出来，以提醒读者这是一个转义字符，而不是真实的 < 或 >。

总之，Markdown 的转义规则是为了在语法简洁性和安全性之间取得平衡，以提供一种方便的方式来表示特殊字符，并避免潜在的安全风险。
- GPT3.5-Turbo