erenhazexyz2/gatex

GitHub: erenhazexyz2/gatex

GateX 是一个为 x64 Windows 生成多态 Shellcode 加载器的工具，旨在绕过安全检测并提供可复用的测试样本。

Stars: 0 | Forks: 0

# GateX 多态性外壳代码加载器生成器。给它原始外壳代码，它会进行加密并输出一个包含随机变量名、加密字符串、垃圾代码、诱饵等的 .c 文件。每次运行 = 完全不同的输出。仅限 x64 Windows ## 技术 19 种注入技术： `local` `inject` `apc` `callback` `fiber` `hijack` `stomp` `hollow` `pool` `phantom` `earlybird` `mapview` `tls` `transact` `threadless` `overload` `callbackfonts` `callbackdesktop` `callbackwindows` ## 加密 XOR、AES-256-CBC、RC4。可通过 `--compound` 堆叠使用以实现双重加密，或通过 `--multistage` 实现分层解密 ## 规避内容很多，以下是列表： - 沙箱检测（15 项检查 - 计时、进程数、RAM、磁盘、屏幕分辨率、光标移动、VM 注册表键、BIOS 字符串、沙箱 DLL、用户名黑名单、MAC 地址） - 反调试（PEB 标志、NtQueryInformationProcess、调试对象、硬件断点寄存器、QPC 计时、ThreadHideFromDebugger） - 反模拟（CPUID 供应商检查、虚拟机位、CPUID 0x40000000 查询 VMware/Hyper-V/KVM/Xen、GetTickCount64 计时、RDTSC、内存大小、FPU 精度） - 间接系统调用搭配 HalosGate SSN 解析 + 加密存根 - ETW/AMSI 修补（多态修补或硬件断点） - Ntdll 取消挂钩（KnownDlls 或从磁盘加载全新副本） - 睡眠混淆（基于计时器的队列、在睡眠期间 XOR 加密外壳代码、随机化计时器） - 外壳代码波动（在周期间将内存标记为 PAGE_NOACCESS） - 返回地址伪造 - 命令行伪造（基于 PEB） - PPID 伪造 - CFG 绕过 - PE 头擦除 - 线程隐藏 - 堆加密 - HMAC-SHA256 完整性检查 - 反反汇编（为 IDA/Ghidra 添加垃圾字节） - 控制流平坦化 - 自删除（NTFS ADS 重命名技巧） - 环境密钥（SHA256 主机名、完整 32 字节密钥派生） - 杀日期 - 域防护 ## 多态性 - XOR 编码的堆栈字符串（每个字符串随机密钥） - 18 种垃圾代码模式（伪造 API 调用、堆分配、结构体、数组、开关等） - 17 种不透明谓词 - 诱饵全局变量 + 无用函数 - 所有变量/函数名随机化 - 每次生成唯一的哈希种子 ## 用法 ``` python gatex.py shellcode.bin python gatex.py shellcode.bin -t inject --target notepad.exe python gatex.py shellcode.bin -t apc -e aes -s --stealth python gatex.py shellcode.bin -t hollow --stealth --env-keying WORKSTATION01 --anti-emulation python gatex.py shellcode.bin -t stomp -s --hwbp --compound --cff python gatex.py shellcode.bin -t local --stealth --fluctuate --retaddr-spoof --hmac python gatex.py shellcode.bin --format dll -t overload -e rc4 --stealth ``` `--stealth` 开启：系统调用、睡眠混淆、反调试、ETW 修补、AMSI 修补、取消挂钩、线程隐藏、PE 擦除、堆加密、反反汇编、自删除 ## 编译 MSVC： ``` cl /O2 output/loader.c /link bcrypt.lib ``` MinGW： ``` x86_64-w64-mingw32-gcc -O2 output/loader.c -o loader.exe -lbcrypt ``` 使用 AES 时需添加 `-lbcrypt` / `bcrypt.lib`（或 `--stealth` / `--env-keying`） ## 要求 - Python 3.6+ - pycryptodome（`pip install pycryptodome`） ## 免责声明仅供教育和授权的安全研究使用。滥用责任自负

标签：AES-256-CBC, AMSI 修补, APC 注入, C 语言生成, DOM解析, ETW 旁路, Fiber 注入, Gophish, HMAC-SHA256, MapView 注入, RC4, Shellcode 加载器, TLS 注入, Windows x64, Windows 平台, XOR 加密, 事务注入, 代码混淆, 代码生成, 内存保护, 内存空洞注入, 加壳与混淆, 加密, 劫持注入, 反反汇编, 反沙箱, 反虚拟机, 反调试, 变量名随机化, 回调字体注入, 回调桌面注入, 回调注入, 回调窗口注入, 垃圾代码, 堆加密, 多层解密, 多层阶段解密, 多态, 安全意识培训, 影子注入, 控制流平坦化, 无线程注入, 早期鸟注入, 时间触发, 本地注入, 池注入, 注入技术, 渗透测试工具, 漏洞扫描器, 环境变量密钥派生, 系统编程, 自删除, 诱饵代码, 过载注入, 逆向工具, 间接系统调用, 随机化