.NET 通过回调函数执行 Shellcode启动进程

在红队活动往往需要考虑如何在实际环境中绕过防御机制，启动木马进程。今天，我们将深入探讨一种较少被提及但非常有趣的技术——利用 EnumPwrSchemes 函数回调来执行shellcode。

0x01 EnumPwrSchemes函数

EnumPwrSchemes 是 Windows 操作系统中的一个 API 函数，位于 C:\Windows\System32\powrprof.dll 库中，用于枚举系统中的电源配置，可以控制计算机的电源使用策略，比如休眠、关闭硬盘、显示器等。EnumPwrSchemes 函数原型如下所示。

BOOLEAN EnumPwrSchemes(
  PWRSCHEMESENUMPROC lpfn,
  LPARAM             lParam
);

接受一个回调函数和一个参数指针，其中，lpfn参数是一个指向回调函数的指针，该回调函数用于处理每个电源配置的详细信息，其类型为 PWRSCHEMESENUMPROC。另一个参数lParam，是一个自定义参数，类型为 LPARAM，它会被传递给回调函数，通常用于传递上下文信息，每当找到一个系统电源配置时，会自动调用该函数。

0x02 VirtualAlloc 函数

VirtualAlloc 函数是