LethimCookMyBro/Link_all

GitHub: LethimCookMyBro/Link_all

一款基于 Python 的 C2 框架与远程管理工具,集成了多客户端管理、防御规避、持久化控制和辅助 payload,用于红队演练与安全审计。

Stars: 0 | Forks: 0

# PhantomLink - 高级命令与控制 (C2) 及远程管理框架 PhantomLink 是一个全面且功能丰富的基于 Python 的命令与控制 (C2) 架构和远程管理工具 (RAT)。它集成了多种隐蔽规避技术、自动化防病毒终结、自我更新的 agent、持久化 reverse shell、自定义聊天系统以及辅助安全测试 payload(包括 keylogger、截图工具和模拟勒索软件)。 ## 📁 仓库布局 | 目录 / 文件 | 描述 | | :--- | :--- | | **[`C2/`](file:///g:/for_hack_all/Link_all/C2)** | 命令与控制服务器 (`C2.py`),支持多客户端连接、遥测、延迟跟踪和远程任务分发。 | | **[`client/`](file:///g:/for_hack_all/Link_all/client)** | PhantomLink 客户端植入物 (`PhantomLink.py`) 以及本地绕过工具 (`av_bypass.py`, `av_killer.py`)。 | | **[`anti_phantom/`](file:///g:/for_hack_all/Link_all/anti_phantom)** / **[`Anti-Phantom/`](file:///g:/for_hack_all/Link_all/Anti-Phantom)** | 清理工具 (`Anti-Phantom.py` / `remover.py`),用于扫描、定位并彻底移除 PhantomLink 的注册表项、计划任务和可执行文件。 | | **[`HackChat/`](file:///g:/for_hack_all/Link_all/HackChat)** | 基于 Tkinter 的自定义图形聊天平台,支持多语言渲染和自定义阿拉伯语文本从右至左的重塑。 | | **[`more-tools/`](file:///g:/for_hack_all/Link_all/more-tools)** | 包含 keylogger、自动截图工具和 GUI 勒索软件模拟器 (`its_your_ransom.py`) 的 payload 库。 | | **[`tests/`](file:///g:/for_hack_all/Link_all/tests)** | 安全测试模块和验证辅助工具。 | | **[`Quick Commands.txt`](file:///g:/for_hack_all/Link_all/Quick%20Commands.txt)** | PhantomLink 扩展命令的参考手册。 | ## ⚡ 主要功能与架构 ### 1. 命令与控制服务器 (C2) * **多客户端处理:** 采用带有长度前缀消息协议和严格客户端验证的异步 socket 管理器。 * **延迟与连接健康分析:** 实时记录网络响应时间、命令成功率以及整体连接质量得分。 * **遥测集成:** 向 **Telegram Bot** (`tel_logger`) 发送即时的客户端上线警报和日志。 * **桌面通知:** 在 C2 操作员的系统上利用 `notify-py` 发送系统托盘通知。 * **群组控制:** 允许向单个、多个或所有处于活动状态的 bot 分发命令。 ### 2. PhantomLink 客户端 (Agent) * **持久化 Reverse Shell:** 具备在连接断开时不断重试和重新连接的逻辑。 * **代码执行引擎:** 直接在内存中运行原生 Shell (CMD / PowerShell) 命令和自定义 Python 脚本。 * **自我更新机制:** 自动验证更新;终止占用二进制文件的活跃进程,覆盖自身,并生成更新后的版本。 * **注册表与计划任务持久化:** 将键值注入 Windows 启动注册表 (Run keys) 和 Task Scheduler,以实现持久化访问。 ### 3. 防病毒规避 (AV Bypass & AV Killer) * **Windows Defender 禁用程序:** 使用管理员权限的 PowerShell 调用来关闭 Real-time Monitoring、Behavior Monitoring、IOAV protection、SmartScreen 和样本提交。 * **防御排除:** 自动将关键文件夹(例如 `%APPDATA%\MicrosoftUpdate`)添加到 Windows Defender 的排除路径中。 * **实时进程终结器:** 生成一个后台线程,每 30 秒扫描一次,强制终结标准的 AV(Avast、AVG、Avira、McAfee、Malwarebytes)。 * **规避取证:** 自动清除系统事件日志(`Application`、`Security`、`System` 和 `PowerShell`)并隐藏目录。 ### 4. Anti-Phantom (清理/移除工具) * **系统清理:** 执行注册表扫描以定位恶意 Run keys,删除计划任务,终结匹配的活跃进程(`defender.exe`、`client.exe`、`keylogger.exe`),并恢复被修改的本地 hosts 文件。 * **管理员提权请求:** 自动请求 UAC 提权,以保证进行完整的系统清理。 * **详细报告:** 生成名为 `PhantomLink_Removal_Report.txt` 的结构化日志文件,总结所有清理操作。 ### 5. 辅助 Payload 工具 (`more-tools/`) * **间谍软件 (Keylogger 及 截图工具):** 注入捕获屏幕活动或击键的后台脚本,并通过 Telegram 直接传送文本日志。 * **勒索软件模拟 (`its_your_ransom.py`):** 使用对称的 `cryptography.fernet` 加密递归锁定用户文件夹(Desktop、Documents、Downloads 等)和外部驱动器中的文件。提供交互式的 Tkinter GUI 锁屏,并使用基于注册表的密钥存储系统进行解密。 ## 🚀 快速命令参考 以下是 PhantomLink 支持的部分自定义远程命令的摘要(完整列表请查看 [`Quick Commands.txt`](file:///g:/for_hack_all/Link_all/Quick%20Commands.txt)): ``` [📁 File Operations] send - Upload file from client to C2 server get - Download files onto the client from C2 harvest - Auto-harvest and send specific file types to C2 [📷 Media] screenshot - Capture client screen and send back camera - Take a snapshot from the client web camera record - Record microhpone audio screenrec - Record screen video stream [🌐 Network] wifi - Recover saved Wi-Fi passwords on the target ip - Extract public IP details worm - Spread client executable through connected local networks ddos - Launch a simulated denial-of-service attack dnshijack - Modify host lookup files [🧠 System Control] killav - Disable Windows Defender & Windows Firewall browser - Dump saved credentials, session cookies, and usernames chrome_pass - Decrypt Google Chrome saved passwords killmbr - Wipe / destroy master boot record (Simulated destruction) ``` ## 🛠️ 使用说明 ### 启动监听器 (C2) 1. 确保已安装依赖项: pip install notify-py requests 2. 在 [`C2/C2.py`](file:///g:/for_hack_all/Link_all/C2/C2.py) 中配置您的 Telegram 凭证: CHAT_ID = "YOUR_CHAT_ID" # Bot token 在发送函数内配置 3. 启动服务器: python C2/C2.py ### 构建客户端 1. 更新 [`client/PhantomLink.py`](file:///g:/for_hack_all/Link_all/client/PhantomLink.py) 中的 `BOT_TOKEN` 和 `CHAT_ID`。 2. 使用 PyInstaller 打包客户端(可选): pyinstaller --onefile --noconsole client/PhantomLink.py ### 清理受感染的机器 如果在授权的模拟测试中有机器被感染: 1. 以管理员身份运行 [`Anti-Phantom/Anti-Phantom.py`](file:///g:/for_hack_all/Link_all/Anti-Phantom/Anti-Phantom.py): python Anti-Phantom/Anti-Phantom.py 2. 查看生成的 `PhantomLink_Removal_Report.txt` 文件以进行确认。 ## ⚖️ 法律与道德声明 此系统必须仅用于测试人员拥有的资产,或在已获得明确许可的情况下使用。未经授权尝试感染系统是严重的犯罪行为。请安全操作,合乎道德地进行测试。
标签:AI合规, C2框架, IP 地址批量处理, Python, 安全学习资源, 无后门, 漏洞挖掘, 远程管理工具(RAT), 逆向工具