mazen91111/PhantomShell

# 👻 PhantomShell — 进程注入研究框架 ``` ╔═══════════════════════════════════════════════════════════╗ ║ PhantomShell — Process Injection Framework ║ ║ [ hollow | apc | thread | dll ] + EDR Analysis ║ ║ Author: mazen91111 (parasite911) · Red Team Research ║ ╚═══════════════════════════════════════════════════════════╝ ``` ## ⚙️ 注入技术 | 方法 | MITRE ID | 隐蔽性评分 | 描述 | |---|---|---|---| | `hollow` | T1055.012 | 60/100 | Process Hollowing — 取消映射合法映像，写入 payload | | `apc` | T1055.004 | 70/100 | APC Queue Injection — 在可警报线程上下文中运行 | | `thread` | T1055.003 | 75/100 | Thread Hijacking — 重定向现有线程的 RIP/EIP | | `dll` | T1055.001 | 30/100 | 经典 DLL 注入，通过 CreateRemoteThread | ## 🧠 EDR 规避分析引擎 针对每种技术，PhantomShell 报告如下内容： - **可疑 API 调用**，这些调用会触发 EDR 用户模式 hooks - **命中的 Kernel callbacks**（PsSetCreateProcessNotifyRoutine 等） - **检测指标**（VAD 异常、PEB 不匹配） - **规避建议**（间接系统调用、PEB 修补等） ## 🚀 安装 ``` git clone https://github.com/mazen91111/PhantomShell.git cd PhantomShell pip install -r requirements.txt ``` ## 🧪 使用 ``` # 展示所有带有 MITRE IDs 和隐蔽性评分的技术 python phantomshell.py -m hollow --list-methods # 针对 APC 注入的 EDR 分析报告 python phantomshell.py -m apc --edr-report # 模拟针对 notepad.exe 的线程劫持 python phantomshell.py -m thread --target notepad.exe # 包含 payload + EDR 报告的完整模拟 python phantomshell.py -m hollow --target explorer.exe --payload payload.bin --edr-report # 实时注入 (需要管理员权限) python phantomshell.py -m dll --target notepad.exe --payload shell.bin --live ``` ## 📸 EDR 分析输出 ``` ══════════════════════════════════════════════════════════════════════ EDR EVASION ANALYSIS ─ APC Queue Injection (T1055.004) ══════════════════════════════════════════════════════════════════════ MITRE ATT&CK ID : T1055.004 Stealth Score : [██████████████░░░░░░] 70/100 ─── Suspicious API Calls ─── • VirtualAllocEx • WriteProcessMemory • QueueUserAPC • NtQueueApcThread ─── EDR Kernel Hooks Triggered ─── ⚡ NtQueueApcThread ⚡ NtAlertResumeThread ⚡ PsSetCreateThreadNotifyRoutine ─── Research Notes & Evasion Tips ─── → Payload executes in context of target thread (more legitimate) → Requires alertable thread (WaitForSingleObjectEx / SleepEx) → Less scrutinized by some EDRs vs CreateRemoteThread → Mitigation: Use NtQueueApcThread directly via syscall stub ══════════════════════════════════════════════════════════════════════ ``` ## 🎯 涵盖的研究领域 - **Windows Internals**: PEB, TEB, VAD, EPROCESS 结构 - **Kernel Callbacks**: 进程/线程/映像通知例程 - **EDR Hooking**: NTDLL 用户模式 hook 架构 - **MITRE ATT&CK**: 完整的技术映射与检测指南 - **Evasion Concepts**: 间接系统调用、PEB 修补、线程上下文操控 ## 👤 作者 **Mazen Obed** — [@mazen91111](https://github.com/mazen91111) *恶意软件开发 | 红队 | Windows 内部原理* ## ⚠️ 免责声明 ## 📄 许可证 MIT 许可证

标签：APC注入, Cloudflare, Conpot, DLL注入, EDR绕过, MITRE ATT&CK, Network, SecList, Shellcode, SSH蜜罐, T-Pot, Windows安全, 中高交互蜜罐, 云资产清单, 内存取证, 内核回调, 安全编码, 开放策略代理, 异常检测, 恶意软件开发, 技术调研, 挂钩分析, 攻击模拟, 数据展示, 流量审计, 私有化部署, 红队, 红队战术, 线程劫持, 进程注入, 进程镂空, 逆向工具, 逆向工程, 防御规避, 驱动签名利用, 高交互蜜罐