mrflippermen/Shellcode-Evasion-Suite
GitHub: mrflippermen/Shellcode-Evasion-Suite
一套 shellcode 加密与规避工具,帮助红队和渗透测试人员生成可绕过 AV/EDR 检测的加密载荷与 C# loader。
Stars: 0 | Forks: 0
```
███████╗██╗ ██╗███████╗██╗ ██╗ ██████╗ ██████╗ ██████╗ ███████╗
██╔════╝██║ ██║██╔════╝██║ ██║ ██╔════╝██╔═══██╗██╔══██╗██╔════╝
███████╗███████║█████╗ ██║ ██║ ██║ ██║ ██║██║ ██║█████╗
╚════██║██╔══██║██╔══╝ ██║ ██║ ██║ ██║ ██║██║ ██║██╔══╝
███████║██║ ██║███████╗███████╗███████╗╚██████╗╚██████╔╝██████╔╝███████╗
╚══════╝╚═╝ ╚═╝╚══════╝╚══════╝╚══════╝ ╚═════╝ ╚═════╝ ╚═════╝ ╚══════╝
███████╗██╗ ██╗ █████╗ ███████╗██╗ ██████╗ ███╗ ██╗
██╔════╝██║ ██║██╔══██╗██╔════╝██║██╔═══██╗████╗ ██║
█████╗ ██║ ██║███████║███████╗██║██║ ██║██╔██╗ ██║
██╔══╝ ╚██╗ ██╔╝██╔══██║╚════██║██║██║ ██║██║╚██╗██║
███████╗ ╚████╔╝ ██║ ██║███████║██║╚██████╔╝██║ ╚████║
╚══════╝ ╚═══╝ ╚═╝ ╚═╝╚══════╝╚═╝ ╚═════╝ ╚═╝ ╚═══╝
███████╗██╗ ██╗██╗████████╗███████╗
██╔════╝██║ ██║██║╚══██╔══╝██╔════╝
███████╗██║ ██║██║ ██║ █████╗
╚════██║██║ ██║██║ ██║ ██╔══╝
███████║╚██████╔╝██║ ██║ ███████╗
╚══════╝ ╚═════╝ ╚═╝ ╚═╝ ╚══════╝
```
[](https://www.python.org/downloads/)
[](https://opensource.org/licenses/MIT)
[](https://github.com/yourusername/Shellcode-Evasion-Suite/graphs/commit-activity)
[](https://github.com/yourusername)
## 🇬🇧 English
### 描述
**Shellcode Evasion Suite** 是一个综合性的工具包,专为红队操作员和渗透测试人员设计,用于生成可规避防御的 payload。该套件提供:
- **多算法加密** (AES-256-CBC, AES-256-GCM, ChaCha20)
- **动态密钥生成** 以避免静态特征
- **基于密码的加密** 使用 PBKDF2 (100,000 次迭代)
- **多种输出格式** (C, C#, PowerShell, Python, hex, base64)
- **生产级 C# loader** 包含 AMSI/ETW bypass
- **代码混淆** 采用随机变量名
- **多种注入技术** (经典注入, 远程注入)
此工具旨在帮助安全专业人员测试 EDR/AV 解决方案,并了解现代规避技术。
### 功能特性
#### 🔐 shellcode2AES.py - Payload 加密
- ✅ 3 种加密模式 (AES-CBC, AES-GCM, ChaCha20)
- ✅ 6 种输出格式以实现最大兼容性
- ✅ 基于密码的 PBKDF2 密钥派生
- ✅ 支持自定义密钥/IV 以确保可复现性
- ✅ 详细的日志记录以便于调试
#### 💉 shellcode2CSharp.py - Loader 生成
- ✅ 完整、可编译的 C# 代码(不仅仅是字节数组)
- ✅ AMSI bypass (修补 `amsi.dll!AmsiScanBuffer`)
- ✅ ETW bypass (修补 `ntdll!EtwEventWrite`)
- ✅ 变量名混淆以规避特征检测
- ✅ 经典注入 (VirtualAlloc + CreateThread)
- ✅ 远程进程注入 (CreateRemoteThread)
- ✅ 包含完整的 P/Invoke 声明
### 安装
```
# Clone repository
git clone https://github.com/yourusername/Shellcode-Evasion-Suite.git
cd Shellcode-Evasion-Suite
# 安装依赖
pip install -r requirements.txt
```
### 用法
#### 基础加密 + Loader 生成
```
# 1. 使用 AES-GCM 加密 shellcode
python src/shellcode2AES.py payload.bin -m aes-gcm -f csharp -o encrypted_payload.txt
# 2. 生成带有 AMSI bypass 的 C# loader
python src/shellcode2CSharp.py payload.bin -t classic --amsi --obfuscate -o loader.cs
# 3. 编译 loader
csc /unsafe /platform:x64 /out:payload.exe loader.cs
```
#### 进阶:受密码保护的 Payload
```
# 使用密码派生密钥加密
python src/shellcode2AES.py payload.bin \
-p "MySecurePassword123!" \
-m chacha20 \
-f python \
-o encrypted.py
```
#### 进阶:远程进程注入
```
# 生成针对 PID 1234 的远程注入 loader
python src/shellcode2CSharp.py payload.bin \
-t remote \
--pid 1234 \
--amsi \
--etw \
--obfuscate \
-o injector.cs
```
### 命令参考
**shellcode2AES.py:**
```
-m, --mode Encryption mode: aes-cbc, aes-gcm, chacha20
-f, --format Output format: hex, base64, c, csharp, powershell, python
-p, --password Derive key from password (PBKDF2)
-k, --key Custom encryption key (hex)
-i, --iv Custom IV/nonce (hex)
-o, --output Output file (default: stdout)
-v, --verbose Verbose logging
```
**shellcode2CSharp.py:**
```
-t, --technique Injection technique: classic, remote, array
--pid Target PID for remote injection
--amsi Include AMSI bypass
--etw Include ETW bypass
--obfuscate Randomize variable names
-o, --output Output C# file
-v, --verbose Verbose logging
```
### OPSEC 注意事项
- **动态密钥**:每次运行都会生成唯一的加密密钥(除非指定了自定义密钥)
- **AMSI bypass**:修补 AV 内存扫描器以防止内存检测
- **ETW bypass**:禁用 Event Tracing 以避免遥测
- **混淆**:随机化命名可击败静态特征匹配
- **无文件落地**:Loader 在内存中执行,不写入磁盘
### 项目结构
```
Shellcode-Evasion-Suite/
├── src/
│ ├── shellcode2AES.py # Encryption module
│ ├── shellcode2CSharp.py # Loader generator
│ └── __init__.py
├── examples/
│ ├── README.md # Example walkthroughs
│ └── sample_output/
├── docs/
│ ├── USAGE.md # Detailed usage guide
│ └── TECHNIQUES.md # Technical documentation
├── requirements.txt
├── .gitignore
├── LICENSE
└── README.md
```
## 🇪🇸 Español
### 描述
**Shellcode Evasion Suite** es un conjunto de herramientas diseñado para operadores de Red Team y pentesters para generar payloads listos para evadir defensas. El suite provee:
- **Encriptación multi-algoritmo** (AES-256-CBC, AES-256-GCM, ChaCha20)
- **Generación dinámica de claves** para evitar firmas estáticas
- **Encriptación derivada de contraseña** usando PBKFD2 (100,000 iteraciones)
- **Múltiples formatos de salida** (C, C#, PowerShell, Python, hex, base64)
- **Loaders de C# listos para producción** con bypass de AMSI/ETW
- **Ofuscación de código** con nombres de variables aleatorios
- **Múltiples técnicas de inyección** (Clásica, Remota)
Esta herramienta ayuda a profesionales de seguridad a probar soluciones EDR/AV y entender técnicas modernas de evasión.
### 安装
```
git clone https://github.com/yourusername/Shellcode-Evasion-Suite.git
cd Shellcode-Evasion-Suite
pip install -r requirements.txt
```
### 基本用法
```
# 加密 shellcode
python src/shellcode2AES.py payload.bin -m aes-gcm -f csharp -o encrypted.txt
# 生成 C# loader
python src/shellcode2CSharp.py payload.bin -t classic --amsi -o loader.cs
# 编译
csc /unsafe /platform:x64 /out:payload.exe loader.cs
```
### OPSEC 注意事项
- Las claves dinámicas previenen detección por firmas estáticas
- El bypass de AMSI evita escaneo en memoria
- El bypass de ETW deshabilita la telemetría de Windows
- La ofuscación derrota el análisis estático
## 📋 环境要求
- Python 3.8+
- pycryptodome
- C# 编译器 (csc.exe / Mono) 用于编译 loader
## 🔒 法律免责声明
**仅用于授权的安全测试**
本工具仅供教育目的和授权的渗透测试使用。用户需自行负责遵守相关法律法规。未经授权访问计算机系统是违法行为。
- ✅ 仅在您拥有或获得明确书面授权进行测试的系统上使用
- ✅ 了解您所在地区有关安全工具的法律法规
- ❌ 作者对任何滥用行为不承担任何责任
## 📜 许可证
MIT 许可证 - 详情请参阅 [LICENSE](LICENSE) 文件。
## 👤 作者
**Esteban Jiménez**
- 🏆 Hack The Box 厄瓜多尔第一名
- 🎯 红队操作员
- 💼 Active Directory 专家
- 🔗 [GitHub](https://github.com/virtualshoot)
## 🙏 致谢
- 进攻性安全社区的知识共享
- EDR 供应商提供的挑战
- MITRE ATT&CK 框架的技术文档
**⚠️ 请负责任地使用。祝您 Hacking 愉快!**
标签:AV/EDR绕过, DNS 反向解析, Shellcode, 代码混淆, 技术调研, 逆向工具