mrflippermen/Shellcode-Evasion-Suite

GitHub: mrflippermen/Shellcode-Evasion-Suite

一套 shellcode 加密与规避工具,帮助红队和渗透测试人员生成可绕过 AV/EDR 检测的加密载荷与 C# loader。

Stars: 0 | Forks: 0

``` ███████╗██╗ ██╗███████╗██╗ ██╗ ██████╗ ██████╗ ██████╗ ███████╗ ██╔════╝██║ ██║██╔════╝██║ ██║ ██╔════╝██╔═══██╗██╔══██╗██╔════╝ ███████╗███████║█████╗ ██║ ██║ ██║ ██║ ██║██║ ██║█████╗ ╚════██║██╔══██║██╔══╝ ██║ ██║ ██║ ██║ ██║██║ ██║██╔══╝ ███████║██║ ██║███████╗███████╗███████╗╚██████╗╚██████╔╝██████╔╝███████╗ ╚══════╝╚═╝ ╚═╝╚══════╝╚══════╝╚══════╝ ╚═════╝ ╚═════╝ ╚═════╝ ╚══════╝ ███████╗██╗ ██╗ █████╗ ███████╗██╗ ██████╗ ███╗ ██╗ ██╔════╝██║ ██║██╔══██╗██╔════╝██║██╔═══██╗████╗ ██║ █████╗ ██║ ██║███████║███████╗██║██║ ██║██╔██╗ ██║ ██╔══╝ ╚██╗ ██╔╝██╔══██║╚════██║██║██║ ██║██║╚██╗██║ ███████╗ ╚████╔╝ ██║ ██║███████║██║╚██████╔╝██║ ╚████║ ╚══════╝ ╚═══╝ ╚═╝ ╚═╝╚══════╝╚═╝ ╚═════╝ ╚═╝ ╚═══╝ ███████╗██╗ ██╗██╗████████╗███████╗ ██╔════╝██║ ██║██║╚══██╔══╝██╔════╝ ███████╗██║ ██║██║ ██║ █████╗ ╚════██║██║ ██║██║ ██║ ██╔══╝ ███████║╚██████╔╝██║ ██║ ███████╗ ╚══════╝ ╚═════╝ ╚═╝ ╚═╝ ╚══════╝ ``` [![Python 3.8+](https://img.shields.io/badge/python-3.8+-blue.svg)](https://www.python.org/downloads/) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Maintenance](https://img.shields.io/badge/Maintained%3F-yes-green.svg)](https://github.com/yourusername/Shellcode-Evasion-Suite/graphs/commit-activity) [![Made with Love](https://img.shields.io/badge/Made%20with-❤️-red.svg)](https://github.com/yourusername) ## 🇬🇧 English ### 描述 **Shellcode Evasion Suite** 是一个综合性的工具包,专为红队操作员和渗透测试人员设计,用于生成可规避防御的 payload。该套件提供: - **多算法加密** (AES-256-CBC, AES-256-GCM, ChaCha20) - **动态密钥生成** 以避免静态特征 - **基于密码的加密** 使用 PBKDF2 (100,000 次迭代) - **多种输出格式** (C, C#, PowerShell, Python, hex, base64) - **生产级 C# loader** 包含 AMSI/ETW bypass - **代码混淆** 采用随机变量名 - **多种注入技术** (经典注入, 远程注入) 此工具旨在帮助安全专业人员测试 EDR/AV 解决方案,并了解现代规避技术。 ### 功能特性 #### 🔐 shellcode2AES.py - Payload 加密 - ✅ 3 种加密模式 (AES-CBC, AES-GCM, ChaCha20) - ✅ 6 种输出格式以实现最大兼容性 - ✅ 基于密码的 PBKDF2 密钥派生 - ✅ 支持自定义密钥/IV 以确保可复现性 - ✅ 详细的日志记录以便于调试 #### 💉 shellcode2CSharp.py - Loader 生成 - ✅ 完整、可编译的 C# 代码(不仅仅是字节数组) - ✅ AMSI bypass (修补 `amsi.dll!AmsiScanBuffer`) - ✅ ETW bypass (修补 `ntdll!EtwEventWrite`) - ✅ 变量名混淆以规避特征检测 - ✅ 经典注入 (VirtualAlloc + CreateThread) - ✅ 远程进程注入 (CreateRemoteThread) - ✅ 包含完整的 P/Invoke 声明 ### 安装 ``` # Clone repository git clone https://github.com/yourusername/Shellcode-Evasion-Suite.git cd Shellcode-Evasion-Suite # 安装依赖 pip install -r requirements.txt ``` ### 用法 #### 基础加密 + Loader 生成 ``` # 1. 使用 AES-GCM 加密 shellcode python src/shellcode2AES.py payload.bin -m aes-gcm -f csharp -o encrypted_payload.txt # 2. 生成带有 AMSI bypass 的 C# loader python src/shellcode2CSharp.py payload.bin -t classic --amsi --obfuscate -o loader.cs # 3. 编译 loader csc /unsafe /platform:x64 /out:payload.exe loader.cs ``` #### 进阶:受密码保护的 Payload ``` # 使用密码派生密钥加密 python src/shellcode2AES.py payload.bin \ -p "MySecurePassword123!" \ -m chacha20 \ -f python \ -o encrypted.py ``` #### 进阶:远程进程注入 ``` # 生成针对 PID 1234 的远程注入 loader python src/shellcode2CSharp.py payload.bin \ -t remote \ --pid 1234 \ --amsi \ --etw \ --obfuscate \ -o injector.cs ``` ### 命令参考 **shellcode2AES.py:** ``` -m, --mode Encryption mode: aes-cbc, aes-gcm, chacha20 -f, --format Output format: hex, base64, c, csharp, powershell, python -p, --password Derive key from password (PBKDF2) -k, --key Custom encryption key (hex) -i, --iv Custom IV/nonce (hex) -o, --output Output file (default: stdout) -v, --verbose Verbose logging ``` **shellcode2CSharp.py:** ``` -t, --technique Injection technique: classic, remote, array --pid Target PID for remote injection --amsi Include AMSI bypass --etw Include ETW bypass --obfuscate Randomize variable names -o, --output Output C# file -v, --verbose Verbose logging ``` ### OPSEC 注意事项 - **动态密钥**:每次运行都会生成唯一的加密密钥(除非指定了自定义密钥) - **AMSI bypass**:修补 AV 内存扫描器以防止内存检测 - **ETW bypass**:禁用 Event Tracing 以避免遥测 - **混淆**:随机化命名可击败静态特征匹配 - **无文件落地**:Loader 在内存中执行,不写入磁盘 ### 项目结构 ``` Shellcode-Evasion-Suite/ ├── src/ │ ├── shellcode2AES.py # Encryption module │ ├── shellcode2CSharp.py # Loader generator │ └── __init__.py ├── examples/ │ ├── README.md # Example walkthroughs │ └── sample_output/ ├── docs/ │ ├── USAGE.md # Detailed usage guide │ └── TECHNIQUES.md # Technical documentation ├── requirements.txt ├── .gitignore ├── LICENSE └── README.md ``` ## 🇪🇸 Español ### 描述 **Shellcode Evasion Suite** es un conjunto de herramientas diseñado para operadores de Red Team y pentesters para generar payloads listos para evadir defensas. El suite provee: - **Encriptación multi-algoritmo** (AES-256-CBC, AES-256-GCM, ChaCha20) - **Generación dinámica de claves** para evitar firmas estáticas - **Encriptación derivada de contraseña** usando PBKFD2 (100,000 iteraciones) - **Múltiples formatos de salida** (C, C#, PowerShell, Python, hex, base64) - **Loaders de C# listos para producción** con bypass de AMSI/ETW - **Ofuscación de código** con nombres de variables aleatorios - **Múltiples técnicas de inyección** (Clásica, Remota) Esta herramienta ayuda a profesionales de seguridad a probar soluciones EDR/AV y entender técnicas modernas de evasión. ### 安装 ``` git clone https://github.com/yourusername/Shellcode-Evasion-Suite.git cd Shellcode-Evasion-Suite pip install -r requirements.txt ``` ### 基本用法 ``` # 加密 shellcode python src/shellcode2AES.py payload.bin -m aes-gcm -f csharp -o encrypted.txt # 生成 C# loader python src/shellcode2CSharp.py payload.bin -t classic --amsi -o loader.cs # 编译 csc /unsafe /platform:x64 /out:payload.exe loader.cs ``` ### OPSEC 注意事项 - Las claves dinámicas previenen detección por firmas estáticas - El bypass de AMSI evita escaneo en memoria - El bypass de ETW deshabilita la telemetría de Windows - La ofuscación derrota el análisis estático ## 📋 环境要求 - Python 3.8+ - pycryptodome - C# 编译器 (csc.exe / Mono) 用于编译 loader ## 🔒 法律免责声明 **仅用于授权的安全测试** 本工具仅供教育目的和授权的渗透测试使用。用户需自行负责遵守相关法律法规。未经授权访问计算机系统是违法行为。 - ✅ 仅在您拥有或获得明确书面授权进行测试的系统上使用 - ✅ 了解您所在地区有关安全工具的法律法规 - ❌ 作者对任何滥用行为不承担任何责任 ## 📜 许可证 MIT 许可证 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 👤 作者 **Esteban Jiménez** - 🏆 Hack The Box 厄瓜多尔第一名 - 🎯 红队操作员 - 💼 Active Directory 专家 - 🔗 [GitHub](https://github.com/virtualshoot) ## 🙏 致谢 - 进攻性安全社区的知识共享 - EDR 供应商提供的挑战 - MITRE ATT&CK 框架的技术文档 **⚠️ 请负责任地使用。祝您 Hacking 愉快!**
标签:AV/EDR绕过, DNS 反向解析, Shellcode, 代码混淆, 技术调研, 逆向工具