JM00NJ/Phantom-Evasion-Loader

# 👻 Phantom-Evasion-Loader (x64 Linux) Phantom-Evasion-Loader 是一个独立、纯 x64 汇编注入引擎，旨在最小化现代 EDR/XDR 解决方案（如 Falco eBPF）以及内核级监控器的检测面。它利用 SROP 和零拷贝注入等高级技术，将有效载荷作为系统中的“幽灵”进行传递。 # 🧠 这段代码到底在做什么？ 与传统的、嘈杂的注入器不同，该引擎专为隐蔽性而构建。它不会向内核大喊“我是恶意软件”。相反，它模仿合法的系统调试行为，执行精准的内存操作，避开行为分析的监控。 ## 🛠️ 关键技术特性 SROP（基于 sigreturn 的编程）劫持： 无需通过嘈杂的 ptrace 调用逐个设置寄存器，而是利用 rt_sigreturn（系统调用 15）在一次看似合法的事务中操控整个 CPU 上下文。 零拷贝注入（process_vm_writev）： 摒弃旧式、缓慢且被严密监控的 PTRACE_POKEDATA 循环。通过使用 process_vm_writev（系统调用 311），将有效载荷直接从加载器内存一次性“管道”传输到目标进程，绕过标准的“代码注入”特征码。 检测面减少（Falco/EDR）： 在实际压力测试中，该架构将 Falco 默认的告警噪音从超过 200 行“严重/警告”日志减少至仅 8 行“低优先级调试”日志。 内存运行时解密（XOR）： 有效载荷在内存中保持加密状态，仅在注入的瞬间进行解密。这阻止了静态 shellcode 扫描器和基础的内存字符串分析。 动态目标枚举： 自动解析 /proc 文件系统，定位并瞄准高权限根服务，如 cron、systemd 或 sshd。 ## 🚀 规避策略 该加载器伪装为“系统故障调试器”。当重命名为 strace 或 gdb 时，大多数 EDR 规则会将初始的 ptrace_attach 标记为管理任务。而随后的“繁重工作”——分配 8MB 内存并注入代理——由于 SROP 和 process_vm_writev 的实现，完全不可见。 ## 📝 重要说明：Shellcode 测试 出于安全性和模块化考虑，本仓库不包含活跃的恶意有效载荷。C2 有效载荷部分仅作为占位符提供。 要执行全规模集成测试： **前往我的 https://github.com/JM00NJ/ICMP-Ghost-A-Fileless-x64-Assembly-C2-Agent 项目。** 导航至 Phantom_Loader 目录。 从 loader.asm 复制预编译的 shellcode，并将其粘贴到本引擎中。 **警告：在使用自定义 shellcode 时，请确保其使用密钥 0xACDAABBBA2BC1337 进行 XOR 加密，并在源代码的 Phase 3 中正确更新有效载荷大小。** ## 有效载荷混淆 加载器实现了滚动 XOR 解密机制。要准备你的 shellcode： **使用提供的 xor.py 脚本。** 它处理原始十六进制字符串，并使用 8 字节小端密钥（0xACDAABBBA2BC1337）进行加密。 这确保了汇编源码中的 `xor r10, r14` 指令能够在运行时正确还原原始指令。 ## 资源 **博客 / 技术文章：** https://netacoding.com/posts/phantom-evasion-loader-blog/ **作者：** https://github.com/JM00NJ ## ⚖️ 许可证 本项目采用 GNU AGPLv3 许可证。我选择此许可证是为了确保研究保持开放并造福社区。 如果 AGPLv3 的 copyleft 特性与您的商业需求或专有环境不一致，欢迎通过 GitHub Issues 或电子邮件联系我，探讨定制许可证或合作机会。 ## 法律免责声明 **本项目仅用于教育目的和授权渗透测试。作者不承担任何责任。** 未经授权对非自有系统或未获得明确书面许可的系统使用该工具是非法的。

标签：EDR绕过, Falco, Payload加密, process_vm_writev, /proc解析, Root权限服务劫持, SIGRETURN, SQLite数据库, SROP, x64, XDR绕过, XOR加密, 内存幽灵, 内核监控, 内核级攻击, 动态目标枚举, 协议分析, 反取证, 安全报告生成, 安全评估, 敏感词过滤, 权限提升, 汇编注入, 系统调用劫持, 系统调试器伪装, 运行时解密, 进程VM写入, 进程内存注入, 隐蔽注入, 零拷贝注入, 高交互蜜罐