LethimCookMyBro/Link_all
GitHub: LethimCookMyBro/Link_all
一款基于 Python 的 C2 框架与远程管理工具,集成了多客户端管理、防御规避、持久化控制和辅助 payload,用于红队演练与安全审计。
Stars: 0 | Forks: 0
# PhantomLink - 高级命令与控制 (C2) 及远程管理框架
PhantomLink 是一个全面且功能丰富的基于 Python 的命令与控制 (C2) 架构和远程管理工具 (RAT)。它集成了多种隐蔽规避技术、自动化防病毒终结、自我更新的 agent、持久化 reverse shell、自定义聊天系统以及辅助安全测试 payload(包括 keylogger、截图工具和模拟勒索软件)。
## 📁 仓库布局
| 目录 / 文件 | 描述 |
| :--- | :--- |
| **[`C2/`](file:///g:/for_hack_all/Link_all/C2)** | 命令与控制服务器 (`C2.py`),支持多客户端连接、遥测、延迟跟踪和远程任务分发。 |
| **[`client/`](file:///g:/for_hack_all/Link_all/client)** | PhantomLink 客户端植入物 (`PhantomLink.py`) 以及本地绕过工具 (`av_bypass.py`, `av_killer.py`)。 |
| **[`anti_phantom/`](file:///g:/for_hack_all/Link_all/anti_phantom)** / **[`Anti-Phantom/`](file:///g:/for_hack_all/Link_all/Anti-Phantom)** | 清理工具 (`Anti-Phantom.py` / `remover.py`),用于扫描、定位并彻底移除 PhantomLink 的注册表项、计划任务和可执行文件。 |
| **[`HackChat/`](file:///g:/for_hack_all/Link_all/HackChat)** | 基于 Tkinter 的自定义图形聊天平台,支持多语言渲染和自定义阿拉伯语文本从右至左的重塑。 |
| **[`more-tools/`](file:///g:/for_hack_all/Link_all/more-tools)** | 包含 keylogger、自动截图工具和 GUI 勒索软件模拟器 (`its_your_ransom.py`) 的 payload 库。 |
| **[`tests/`](file:///g:/for_hack_all/Link_all/tests)** | 安全测试模块和验证辅助工具。 |
| **[`Quick Commands.txt`](file:///g:/for_hack_all/Link_all/Quick%20Commands.txt)** | PhantomLink 扩展命令的参考手册。 |
## ⚡ 主要功能与架构
### 1. 命令与控制服务器 (C2)
* **多客户端处理:** 采用带有长度前缀消息协议和严格客户端验证的异步 socket 管理器。
* **延迟与连接健康分析:** 实时记录网络响应时间、命令成功率以及整体连接质量得分。
* **遥测集成:** 向 **Telegram Bot** (`tel_logger`) 发送即时的客户端上线警报和日志。
* **桌面通知:** 在 C2 操作员的系统上利用 `notify-py` 发送系统托盘通知。
* **群组控制:** 允许向单个、多个或所有处于活动状态的 bot 分发命令。
### 2. PhantomLink 客户端 (Agent)
* **持久化 Reverse Shell:** 具备在连接断开时不断重试和重新连接的逻辑。
* **代码执行引擎:** 直接在内存中运行原生 Shell (CMD / PowerShell) 命令和自定义 Python 脚本。
* **自我更新机制:** 自动验证更新;终止占用二进制文件的活跃进程,覆盖自身,并生成更新后的版本。
* **注册表与计划任务持久化:** 将键值注入 Windows 启动注册表 (Run keys) 和 Task Scheduler,以实现持久化访问。
### 3. 防病毒规避 (AV Bypass & AV Killer)
* **Windows Defender 禁用程序:** 使用管理员权限的 PowerShell 调用来关闭 Real-time Monitoring、Behavior Monitoring、IOAV protection、SmartScreen 和样本提交。
* **防御排除:** 自动将关键文件夹(例如 `%APPDATA%\MicrosoftUpdate`)添加到 Windows Defender 的排除路径中。
* **实时进程终结器:** 生成一个后台线程,每 30 秒扫描一次,强制终结标准的 AV(Avast、AVG、Avira、McAfee、Malwarebytes)。
* **规避取证:** 自动清除系统事件日志(`Application`、`Security`、`System` 和 `PowerShell`)并隐藏目录。
### 4. Anti-Phantom (清理/移除工具)
* **系统清理:** 执行注册表扫描以定位恶意 Run keys,删除计划任务,终结匹配的活跃进程(`defender.exe`、`client.exe`、`keylogger.exe`),并恢复被修改的本地 hosts 文件。
* **管理员提权请求:** 自动请求 UAC 提权,以保证进行完整的系统清理。
* **详细报告:** 生成名为 `PhantomLink_Removal_Report.txt` 的结构化日志文件,总结所有清理操作。
### 5. 辅助 Payload 工具 (`more-tools/`)
* **间谍软件 (Keylogger 及 截图工具):** 注入捕获屏幕活动或击键的后台脚本,并通过 Telegram 直接传送文本日志。
* **勒索软件模拟 (`its_your_ransom.py`):** 使用对称的 `cryptography.fernet` 加密递归锁定用户文件夹(Desktop、Documents、Downloads 等)和外部驱动器中的文件。提供交互式的 Tkinter GUI 锁屏,并使用基于注册表的密钥存储系统进行解密。
## 🚀 快速命令参考
以下是 PhantomLink 支持的部分自定义远程命令的摘要(完整列表请查看 [`Quick Commands.txt`](file:///g:/for_hack_all/Link_all/Quick%20Commands.txt)):
```
[📁 File Operations]
send - Upload file from client to C2 server
get - Download files onto the client from C2
harvest - Auto-harvest and send specific file types to C2
[📷 Media]
screenshot - Capture client screen and send back
camera - Take a snapshot from the client web camera
record - Record microhpone audio
screenrec - Record screen video stream
[🌐 Network]
wifi - Recover saved Wi-Fi passwords on the target
ip - Extract public IP details
worm - Spread client executable through connected local networks
ddos - Launch a simulated denial-of-service attack
dnshijack - Modify host lookup files
[🧠 System Control]
killav - Disable Windows Defender & Windows Firewall
browser - Dump saved credentials, session cookies, and usernames
chrome_pass - Decrypt Google Chrome saved passwords
killmbr - Wipe / destroy master boot record (Simulated destruction)
```
## 🛠️ 使用说明
### 启动监听器 (C2)
1. 确保已安装依赖项:
pip install notify-py requests
2. 在 [`C2/C2.py`](file:///g:/for_hack_all/Link_all/C2/C2.py) 中配置您的 Telegram 凭证:
CHAT_ID = "YOUR_CHAT_ID"
# Bot token 在发送函数内配置
3. 启动服务器:
python C2/C2.py
### 构建客户端
1. 更新 [`client/PhantomLink.py`](file:///g:/for_hack_all/Link_all/client/PhantomLink.py) 中的 `BOT_TOKEN` 和 `CHAT_ID`。
2. 使用 PyInstaller 打包客户端(可选):
pyinstaller --onefile --noconsole client/PhantomLink.py
### 清理受感染的机器
如果在授权的模拟测试中有机器被感染:
1. 以管理员身份运行 [`Anti-Phantom/Anti-Phantom.py`](file:///g:/for_hack_all/Link_all/Anti-Phantom/Anti-Phantom.py):
python Anti-Phantom/Anti-Phantom.py
2. 查看生成的 `PhantomLink_Removal_Report.txt` 文件以进行确认。
## ⚖️ 法律与道德声明
此系统必须仅用于测试人员拥有的资产,或在已获得明确许可的情况下使用。未经授权尝试感染系统是严重的犯罪行为。请安全操作,合乎道德地进行测试。
标签:AI合规, C2框架, IP 地址批量处理, Python, 安全学习资源, 无后门, 漏洞挖掘, 远程管理工具(RAT), 逆向工具