Schich/Lucky-Pasta

# Lucky-Pasta Lucky-Pasta 是一个轻量级的 shellcode 加载器，设计重点在于隐蔽性和规避技术。它结合了即时解密、字符串混淆和动态库加载等运行时保护机制，以降低静态和行为检测的风险。该加载器使用 fibers 执行 payload，并对 AES 相关的 CPU 指令进行运行时修补，以进一步限制分析可见性。它支持通过 HTTP 和 HTTPS 安全获取 shellcode，实现灵活且可控的投递。 ## 功能特性 - Shellcode 的 JIT 解密，避免 payload 被 AV 检测 - 可疑字符串混淆 - 动态加载可疑库 - 使用 fibers 执行 Shellcode - 运行时修补 AES CPU 指令以规避静态检测 - 通过 http 或 https 获取 shellcode ## 使用说明 ### 构建 使用 MinGW 编译项目： ``` make all ``` 这将生成两个二进制文件： * `payloadEncryptor.exe` – 用于加密你的 shellcode * `filezilla.exe` – 即加载器 ### 配置 Payload URL 默认情况下，加载器从此处获取加密的 payload： ``` http://127.0.0.1:8000/payload.bin.enc ``` 如需更改，请编辑以下文件中的 URL： ``` inc/lucky_http.h ``` ### 加密 Shellcode 在提供 payload 之前先进行加密： ``` wine payloadEncryptor.exe payload.bin payload.bin.enc ``` ### 托管 Payload 通过 HTTP 或 HTTPS 提供加密的 payload。例如： ``` python3 -m http.server ``` ### 执行加载器 运行加载器以获取并执行 payload。 ## 注意事项 - 代码并非写得糟糕且无注释。它是 Red-Wine-Obfuscated™（红酒混淆™）的。 - 是的，payloadEncryptor 是一个 exe。我很抱歉。 - 该加载器在 VirusTotal 上有 0 到 2 个检测结果。如果你遇到 Microsoft 的 "Trojan:Win32/Wacatac.B!ml" 检测，请随机修改加载器和编译器标志。规避基于 ML 的检测看起来更像是赌博而不是科学，或者是比我更聪明的人才能做的事。

标签：AES指令修补, C++, DAST, DNS 反向解析, EDR绕过, Fiber执行, Gophish, HTTP/HTTPS传输, JIT解密, MinGW, 二进制安全, 代码混淆, 动态加载, 客户端加密, 恶意软件分析, 数据擦除, 私有化部署, 端点可见性, 网络信息收集, 行为检测规避, 逆向工程挑战, 防御规避, 静态分析规避, 高交互蜜罐