ic1ph/Ciph.Core

# Ciph.Core - EDR 压力测试框架 ## 概述 Ciph.Core 是一个专用的 .NET 8 框架，专为高级安全测试和 EDR 规避研究而设计。该项目在授权环境中实现了驻留内存威胁模拟的前沿技术。 ## 功能 ### 1. D/Invoke 引擎 (Native.cs) - 从磁盘动态解析 ntdll.dll 函数 - 绕过用户模式 API Hook - 遍历 PEB 进行模块枚举 - 手动函数指针解析 ### 2. AES-256-GCM 加密 (Encryption.cs) - 军用级 Payload 加密 - 基于密码的密钥派生 (PBKDF2) - 针对大型 Payload 的分块加密 - 反取证混淆技术 ### 3. 进程镂空 (ProcessHollowing.cs) - 完整的进程镂空实现 - PE 头验证和解析 - 内存分配和保护 - 线程上下文操作 - 实时进程监控 ### 4. 诊断 UI (MainWindow.xaml) - 实时注入阶段监控 - 内存偏移跟踪 - 进程状态可视化 - 深色主题界面 ## 技术规格 ### 要求 - .NET 8.0 Windows 目标平台 - x64 架构 - 需要管理员权限 ### 核心组件 #### 原生操作 - `VirtualAllocEx` - 在目标进程中分配内存 - `WriteProcessMemory` - 内存写入能力 - `SetThreadContext` - 线程上下文操作 - `NtUnmapViewOfSection` - 内存取消映射 - `NtResumeThread` - 线程执行控制 #### 加密标准 - AES-256-GCM 认证加密 - 12 字节 Nonce 作为 IV - 16 字节认证标签 - PBKDF2 使用 SHA-256 和 100,000 次迭代 #### 内存管理 - PAGE_EXECUTE_READWRITE 保护 - MEM_COMMIT | MEM_RESERVE 分配 - 基于节的 PE 映射 - 入口点重定向 ## 使用方法 ### 基本工作流 1. 选择目标进程 (例如 svchost.exe) 2. 加载并加密 Payload 3. 绕过用户模式 Hook 4. 执行进程镂空 5. 监控注入阶段 6. 跟踪内存偏移 ### 高级功能 - 分块 Payload 传输 - 嵌入噪声以实现隐蔽 - 诱饵 Payload 生成 - 安全内存擦除 ## 编译 ``` dotnet build Ciph.Core.csproj --configuration Release ``` ## 执行 ``` dotnet Ciph.Core.exe ``` ## 架构 ``` Ciph.Core/ ├── Ciph.Core.csproj # Project configuration ├── Native.cs # D/Invoke engine ├── Encryption.cs # AES-256-GCM wrapper ├── ProcessHollowing.cs # Memory manipulation ├── MainWindow.xaml # UI definition ├── MainWindow.xaml.cs # UI logic ├── App.xaml # Application entry ├── App.xaml.cs # Application logic └── README.md # Documentation ``` ## 安全说明 该框架专为授权的安全测试环境而设计。所有操作均在具有适当监督的受控模拟上下文中进行。 ## 兼容性 - Windows 10/11 x64 - .NET 8.0 Runtime - 内存操作需要管理员权限

标签：AES-256-GCM, API 动态调用, D/Invoke, DNS 反向解析, EDR 规避, .NET 8, PEB 遍历, RFI远程文件包含, SSH蜜罐, Windows 安全, 内存操作, 内存驻留, 加密, 反取证, 安全测试, 安全研究框架, 安全评估, 恶意代码模拟, 攻击性安全, 漏洞扫描器, 用户态 Hook 绕过, 端点可见性, 系统编程, 进程注入