PE文件的格式是一个很重要的基础知识，我希望有一天我的Blog可以适宜很多阶段的人学习，不管是小白还是初学者亦或者是回顾的人。 什么是PE文件PE（Portable Executable）文件是一种可移植可执行文件格式，是Windows操作系统中应用程序（EXE）、动态链接库（DLL）和驱动程序（SYS）等二进制文件的标准文件格式。PE文件可以包含代码、数据、资源以及操作系统加载器在运行时执行程

书接上文，我们简单的介绍了关于图像加载的一些事情，但是对于规避方法尚有一些疏漏所以第二篇进行补充。当然未来可能还会更新第三篇关于LoadLibrary的故事。 那么我们很多时候，是直接使用的，比如一些C2或者一些其他功能的shellcode，那么我们怎么办呢？毕竟我们是没有源代码的，这里就涉及到Shellcode加载器上的一些设计知识，当然这次并不是来说如何设计一款优秀的shellcode加载器

很早之前就看到过一篇MDSec的文章 https://www.mdsec.co.uk/2021/06/bypassing-image-load-kernel-callbacks/ 提到了一个很有趣的点，图像加载回调，也就是对应内核的 PsSetLoadImageNotifyRoutine函数。 什么是图像加载回调PsSetLoadImageNotifyRoutine 是 Windows 内核提供的

首先什么是AMSI： 是一组 反恶意软件扫描接口 Windows API，允许任何应用程序与防病毒产品集成（假设该产品充当 AMSI 提供程序）。 与许多第三方 AV 解决方案一样，Windows Defender 自然地充当 AMSI 提供程序。AMSI 充当应用程序和 AV 引擎之间的桥梁，以 PowerShell 为例——当用户试图执行任何代码时，PowerShell 会在执行之前将其提交