MOUKA-513/awesome-silent-security

# Awesome Silent Security (无噪声) [](https://awesome.re)  **无声安全** 是隐身的艺术。无论你是正在进行隐蔽行动的红队人员、模拟高级威胁的紫队人员，还是想要了解最安静的攻击者如何规避传感器的防御者——这份列表都适合你。 这里收录的每一个项目都优先考虑免费/开源项目、低速且缓慢的方法论，以及 **OPSEC 优先** 的设计。不包含商业的“隐身”产品。 ## 目录 - [隐蔽 C2 框架](#c2-frameworks-for-stealth) - [EDR 与 AV 规避](#edr--av-evasion) - [日志与遥测抑制](#logging--telemetry-suppression) - [Linux 内核与用户态隐身](#linux-kernel--userland-stealth) - [内存与进程规避](#memory--process-evasion) - [网络规避](#network-evasion) - [攻击工具（无噪声）](#offensive-tooling-noise-free) - [隐蔽持久化](#covert-persistence) - [Living Off the Land (LOLBins 与脚本)](#living-off-the-land-lolbins--scripts) - [OPSEC 与技术 tradecraft 指南](#opsec--tradecraft-guides) - [隐蔽检测工程](#detection-engineering-for-stealth) - [奇趣与研究](#curiosities--research) - [贡献](#contributing) - [许可证](#license) ## 隐蔽 C2 框架 从头开始设计的框架，旨在减少取证足迹、随机化网络特征并避免内存签名。 - [Havoc](https://github.com/HavocFramework/Havoc) – 现代化后渗透框架，配备可塑性 `Demon` 代理。具备休眠混淆、返回地址伪造、间接系统调用以及完整的团队服务器 UI。 - [Sliver](https://github.com/BishopFox/sliver) – Bishop Fox 开发的跨平台植入框架。支持 MTLS、WireGuard、HTTP(S) 和 DNS，具备 JA3/JA4S 指纹随机化、会话迁移和操作端多人协作功能。 - [Mythic](https://github.com/its-a-feature/Mythic) – 高度模块化的 C2，采用基于 Docker 的架构。代理（Apollo、Athena、Merlin 等）支持自定义加密、动态加载和灵活的传输选项。 - [Cobalt Strike Malleable C2 Profiles](https://github.com/rsmudge/Malleable-C2-Profiles) – 权威配置文件集合，可重塑 Beacon 流量以模拟合法协议。研究这些内容以了解如何融入企业网络。 - [Nimbo-C2](https://github.com/frkngksl/Nimbo-C2) – 使用 Nim 编写的轻量级异步 C2，展示了高级混淆、加密通信和极小的进程足迹。 ## EDR 与 AV 规避 在不导致进程崩溃的情况下，绕过用户态 hook、内核回调和行为检测引擎的技术与工具。 - [Magnetar](https://github.com/0xjrx/magnetar) – 功能丰富的 shellcode 加载器，具备直接系统调用、ETW/AMSI patch、Early Bird APC 注入，以及通过安全描述符修改实现的进程保护。 - [EDRChoker](https://github.com/TwoSevenOneT/EDRChoker) – 利用 Windows QoS 策略来限制 EDR 遥测。无需进程注入，无需加载驱动，也没有可疑的内存操作。 - [Artemis](https://github.com/0x3xp/Artemis) – “系统调用锻造厂”，动态发现系统调用号并生成全新的直接/间接存根，规避静态系统调用表。 - [BYOVD Library (VectorKernel)](https://github.com/daem0nc0re/VectorKernel) – 精选的带有漏洞的签名驱动程序及配套 exploit 集合，用于从内核模式解除 EDR 代理的武装。 - [SysWhispers3](https://github.com/klezVirus/SysWhispers3) – 为直接系统调用生成头文件/ASM 文件。支持 egg-hunting 和间接系统调用模式，绕过被 hook 的 NTDLL 函数。 - [ScareCrow](https://github.com/optiv/ScareCrow) – Payload 生成框架，可生成 DLL 侧加载、ETW/AMSI patch 和基于系统调用的 shellcode 执行工件。 ## 日志与遥测抑制 在不触发如清除事件日志等明显警报的情况下，静默、篡改或禁用日志子系统。 - [EvtMute](https://github.com/bats3c/EvtMute) – 在事件写入*之前*，将类似 YARA 的过滤器应用于 Windows 事件日志管道。包含用于 C# 集成的 `SharpEvtMute.exe`。 - [BOF-patchit](https://github.com/ASkyeye/BOF-patchit) – 多合一 Cobalt Strike BOF，用于在内存中 patch、检查和还原 AMSI 与 ETW，且不留下磁盘工件。 - [Phant0m](https://github.com/hlldz/Phant0m) – 定位并杀死事件日志服务线程而非清除日志的技术，可避免典型的 1102 事件。 - [ETW-Patch](https://github.com/EvilBytecode/ETW-Patch) – 极简的 CGO 代码片段，演示如何 patch ntdll.dll 中的 `EtwEventWrite`，有效致盲多个 ETW 提供程序。 - [SilenceSysmon](https://github.com/mattifestation/SilenceSysmon) – 通过操纵 Sysmon 内部管道来阻止事件传递的 PoC，展示了一种致盲关键传感器的隐蔽方法。 ## Linux 内核与用户态隐身 能够抵御现代监控技术栈的 Rootkit、基于 eBPF 的后门以及文件/进程隐藏技术。 - [Diamorphine](https://github.com/m0nad/Diamorphine) – 适用于 Linux 2.6–4.x 的稳定 LKM rootkit。可隐藏进程、文件、套接字，并提供带有魔术前缀的 root 后门。 - [TripleCross](https://github.com/h3xduck/TripleCross) – 使用 `bpf_probe_write_user` 和 map 篡改来隐藏进程、文件和网络连接的 eBPF rootkit，无需加载内核模块。 - [Curing (io_uring rootkit)](https://github.com/armosec/curing) – 滥用 Linux `io_uring` 接口以绕过系统调用 hook 的研究型 rootkit，甚至可以规避基于 eBPF 的监控。 - [KoviD](https://github.com/carloslack/KoviD) – 兼顾现代内核兼容性编写的轻量级 LKM rootkit，可隐藏文件、进程并提供后门。 - [Reptile (Archived fork)](https://github.com/fengjixuchui/linux-rootkits/tree/main/Reptile) – 具有历史意义且具启发性的 LKM rootkit，具备反弹 shell、文件/进程隐藏和端口敲击功能。适合用于研究内核隐身技术。 ## 内存与进程规避 在不触碰磁盘的情况下执行 payload，避免内存扫描，并使用能最大限度减少可疑线程创建的注入技术。 - [Donut](https://github.com/TheWover/donut) – 从 .NET 程序集、VBScript、JScript 等生成位置无关的 shellcode，随时可用于内存执行。 - [Shhhloader](https://github.com/icyguider/Shhhloader) – 仅使用系统调用的 shellcode 加载器，具备多态混淆和内置的反沙箱/反分析功能。 - [ThreadlessInject](https://github.com/CCob/ThreadlessInject) – 通过劫持现有线程的执行上下文来执行 shellcode 的新型注入技术，全程不调用 `CreateRemoteThread`。 - [Process Injection Techniques (Atomic Red Team T1055)](https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1055/T1055.md) – 针对 Doppelgänging、进程镂空、APC 注入等的开箱即用测试——对于了解防御者在关注什么具有无可估量的价值。 - [TartarusGate](https://github.com/trickster0/TartarusGate) – 实现了一种基于硬件断点的 unhooking 方法，无需 patch 即可绕过用户态 hook。 ## 网络规避 通过多态协议、指纹随机化和流量操纵来绕过 IDS/IPS 和深度包检测。 - [Geneva (Genetic Evasion)](https://github.com/Kkevsterrr/geneva) – 自动发现数据包操纵策略以规避国家级 DPI 系统的遗传算法。 - [ICMP Exfiltration Toolkit](https://github.com/PolEspurnes/ICMP-Exfiltration-Scripts) – 用于通过 ICMP 进行隐蔽文件传输的 Python 和 PowerShell 脚本，旨在与正常主机网络行为融合。 - [ProxyCannon](https://github.com/proxycannon/proxycannon) – 在云环境中快速部署一次性、跨区域的代理链，实现出口 IP 多样化并增加地理位置追踪的难度。 - [Sliver Fingerprint Randomisation](https://github.com/BishopFox/sliver) – 因其能够随机化 TLS 客户端问候签名（JA3/JA4S）和会话元数据而备受瞩目，这是一种关键的网络层规避技术。 - [Malleable C2 Profiles (Cobalt Strike)](https://github.com/rsmudge/Malleable-C2-Profiles) – 包含高度可定制的 HTTP、HTTPS 和 DNS 配置文件，可模拟真实应用程序，如 Microsoft Updates 或 Google Play。 ## 攻击工具（无噪声） 具有最小依赖性、极小二进制文件体积并内置 OPSEC 意识的独立工具。 - [Blackglass Suite](https://github.com/GnomeMan4201/Blackglass_Suite) – 离线优先的 payload 生成平台（二维码、HTA、LNK 释放器），并附带庞大的 PowerShell 库。 - [NimlineWhispers](https://github.com/ajpc500/NimlineWhispers) – 为 Nim 生成直接系统调用，生成极小的 Windows 可执行文件，难以进行逆向工程和特征标记。 - [EvilTree](https://github.com/t3l3machus/eviltree) – 通过原生 NT API 进行隐蔽的目录树重建，完全绕过标准的 `FindFirstFile/FindNextFile` hook。 - [Freeze](https://github.com/optiv/Freeze) – 以规避 EDR 用户态 hook 的方式挂起和恢复进程，可用于 payload 的分阶段部署。 - [PowerShell without Event Logs](https://github.com/Arno0x/PowerShellC2) – 反射加载和自定义 PowerShell 远程会话并降级日志记录的技术。 ## 隐蔽持久化 避开十大最受监控的持久化位置的长期访问方法。 - [WMI Event Subscription (Permanent)](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Persistence.md#wmi) – 静默触发的 WMI 事件过滤器和消费者，常被自动化扫描器甚至部分 EDR 漏掉。 - [COM Hijacking](https://github.com/outflanknl/COM-Hijacking) – 滥用 CLSID 注册表项以通过加载合法 COM 对象来执行 payload，从而融入正常的系统活动。 - [Scheduled Task Obfuscation](https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1053/T1053.md) – 通过创建具有随机名称、自定义触发器和编码命令行的任务，以击败基于规则的检测的技术。 - [Linux @reboot cron + Rootkit](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Linux%20-%20Persistence.md) – 将简单的 cron `@reboot` 条目与隐藏 crontab 行的 rootkit 结合使用，使管理员无法发现持久化。 ## Living Off the Land (LOLBins 与脚本) 仅使用内置的操作系统工具进行代理执行、横向移动和数据窃取。 - [LOLBAS Project](https://lolbas-project.github.io/) – 包含可被滥用于执行、下载和 UAC 绕过的 Windows 二进制文件、库和脚本的全面数据库。 - [GTFOBins](https://gtfobins.github.io/) – 可被利用以提升权限、绕过安全限制或在雷达之下执行命令的 Unix/Linux 二进制文件。 - [WMI for Silent Lateral Movement](https://github.com/ankh2054/wmi-pentest) – 用于基于 `wmic` 和 `Invoke-WmiMethod` 的横向移动、且产生极少事件日志噪声的工具和技术。 - [PowerShell Remoting with Log Downgrade](https://github.com/Arno0x/PowerShellC2) – 禁用命令记录和模块加载的自定义 PSRemoting 会话，留下的痕迹极少。 ## OPSEC 与技术 tradecraft 指南 能将单纯使用工具与真正的技术 tradecraft 区分开来的思维方式、规划框架和深度技术剖析。 - [Red Team OPSEC – The Manual](https://www.offensive-security.com/offsec/red-team-opsec-manual/) – OffSec 提供的结构化方法论，用于识别操作风险和规划反监控。 - [Evading EDR – SpecterOps Series](https://posts.specterops.io/evading-edr-the-definitive-guide-c3c0b8b1a8b9) – 了解现代 EDR 内部原理和最有效绕过策略的权威指南。 - [Silent Cylinder Blog](https://silentcylinder.com/) – 深入剖析 Windows 内部原理、进程操纵和高级隐身技术。 - [MITRE ATT&CK – Defense Evasion (TA0005)](https://attack.mitre.org/tactics/TA0005/) – 对手规避的规范分类法。对照它映射你的 TTP 以识别检测盲区。 ## 隐蔽检测工程 防御者正在寻找什么——以及你必须避免什么才能保持静默。 - [Sigma Rules](https://github.com/SigmaHQ/sigma) – 超过 3000 条由社区维护的 SIEM 检测规则。研究这些规则可以准确揭示哪些行为会触发警报。 - [SigmaOptimizer](https://github.com/YusukeJustinNakajima/SigmaOptimizer-UI) – 协助生成和优化 Sigma 规则的 LLM 工具，可抢先一窥新兴的检测逻辑。 - [EventTrace](https://github.com/fafalone/EventTrace) – 基于 ETW 的文件活动监控器，可暴露底层的 I/O 操作，适合用于测试你自己的规避手段。 - [auditd Hardening Rules](https://github.com/Neo23x0/auditd) – Florian Roth 编写的规则集，可捕获内核模块加载、`memfd_create` 无文件执行以及其他 Linux 隐身技术。 ## 奇趣与研究 突破隐身界限的实验性技术、PoC 和小众项目。 - [Threadless Injection (Concept)](https://github.com/CCob/ThreadlessInject) – 证明 shellcode 可以完全在现有线程中运行，而不会留下任何线程创建的工件。 - [NyxC2](https://github.com/korakino/NyxC2) – 用 Python 编写的极简异步 C2；在简洁的代码库中演示了 XOR 字符串混淆和动态 API 加载。 - [Hiding Linux Processes from eBPF](https://github.com/h3xduck/TripleCross) – TripleCross 篡改 eBPF map 和 probe 的方法代表了内核级隐身的最前沿。 - [Magnetar Process Protection](https://github.com/0xjrx/magnetar#process-protection) – 利用安全描述符修改来阻止其他进程（包括 EDR）打开或终止你的植入程序。 ## 许可证 [](https://creativecommons.org/licenses/by/4.0/) 本作品采用 [知识共享署名 4.0 国际许可协议](https://creativecommons.org/licenses/by/4.0/) 进行授权。

标签：AI合规, DNS 反向解析, Docker镜像, IP 地址批量处理, 免杀技术, 威胁对抗, 安全渗透, 安全资源库, 日志审计, 暴力破解检测, 私有化部署, 端点可见性, 网络信息收集, 逆向工具, 防御规避, 隐蔽通信