rainfantry/22nd-survey-division
GitHub: rainfantry/22nd-survey-division
一家澳大利亚进攻性安全培训平台,提供 22 个涵盖 Windows 内部机制、AV 绕过和 C2 框架的实战课程模块及配套自研红队工具。
Stars: 1 | Forks: 0
# 第22勘测师
## 进攻性安全培训 — Windows Internals、AV 绕过、C2 框架
### 分类:公开课程网站
## 这是什么
第22勘测师是一个澳大利亚的进攻性安全培训平台,其内容基于实时研究构建 — 而非经过粉饰的教程内容。包含 22 个模块,涵盖 Windows internals、恶意软件开发、rootkits、C2 框架、Android RATs 以及社会工程学。每一项技术均从基本原理讲起,并使用真实工具在运行中的 AV 引擎上进行了测试。
**创建者:** George Wu (VADER) — Windows 安全研究员,悉尼
**实体:** OCCUPATION FORCE CALLSIGN GSW PTY LTD (ACN 692 429 397)
**研究:** MSRC VULN-195458 (Windows Defender 篡改保护绕过,已负责任地披露)
## 课程概述
| 模块 | 标题 | 工具仓库 | 价格 |
|--------|-------|-----------|-------|
| 01 | Offensive Mindset | — | $29 |
| 02 | Recon & Footprinting | winrecon | $39 |
| 03 | Vulnerability Research | csec-research-authorization | $49 |
| 04 | Mitigations | — | $29 |
| 05 | Exploit Development | — | $49 |
| 06 | Windows Internals | — | $39 |
| 07 | Exploit Primitives | — | $49 |
| 08 | Privilege Escalation | winrecon | $69 |
| 09 | Malware Development | iron-sun + eclipse | $79 |
| 10 | Code Injection | iron-sun | $69 |
| 11 | Rootkits | vader-rootkit | $79 |
| 12 | Antivirus Evasion | iron-sun + eclipse + vader-rootkit | $79 |
| 13 | Memory Forensics | flagship | $59 |
| 14 | Reverse Engineering | — | $49 |
| 15 | Post-Exploitation | flagship | $79 |
| 16 | Command & Control | cheyanne | $79 |
| 17 | Network Warfare | winrecon | $59 |
| 18 | Cryptography Evasion | iron-sun + eclipse | $59 |
| 19 | Living Off the Land | — | $39 |
| 20 | Active Directory | winrecon | $69 |
| 21 | Mobile Security | starkiller | $79 |
| 22 | OSINT & Social Engineering | — | $39 |
**完整捆绑包:** $497 AUD(全部 22 个模块 + 5 个私有仓库 + 终身访问权限)
**按月付费:** $21.99 AUD/月(私有仓库访问权限,随时取消)
## 工具(包含在完整捆绑包中)
### VADER-ROOTKIT
针对 AMSI + ETW 的硬件断点绕过。零内存写入。26 个 Defender 未检出二进制文件。MSRC VULN-195458 研究。
**实战测试:** Windows 11,Defender RTP + 云端 + BehaviorMonitor — 未检出 (CLEAN)。Kaspersky Premium — 未检出 (CLEAN)。VirusTotal 预估 0/72。
### IRON-SUN
8 层 AV 绕过栈。TCP 反向 shell。XOR 混淆、动态 API 解析、反沙箱时序、PE 头覆盖、ISUN 认证网关、beacon 抖动、MinGW 编译、HWBP 绕过。
**实战测试:** 10/10 POC 已在实机 (192.168.1.92) 上验证。Kaspersky Premium 21.25 — 0 检出。所有层均已激活。
### CHEYANNE C2
完整的 C2 框架。基于浏览器的操作面板。GPS 数据外发、VNC shell、AES-256-CBC beacon、Discord 桥接、服务持久化。
**实战测试:** 2 个 agent 处于活跃状态。GPS 轮询 5 秒。SMS 导出 47 条消息。Play Protect 已绕过。使用 Kotlin 构建。
### GHOST-ENCODER
零宽度 Unicode 隐写术。隐蔽信道框架。16 字符不可见字母表。PNG 载体实现。
**实战测试:** Payload 隐藏在 Discord 消息中。熵值 0.12(正常文本范围)。VirusTotal 0/72。Kaspersky 未检出 (CLEAN)。
### WINRECON
Windows 侦察框架。进程枚举、权限提升检查、网络映射、服务枚举。
**实战测试:** 输出 1229 行。标准用户上下文。Defender 关闭,Kaspersky 活跃。发现 2 个可写入的 SYSTEM 服务。
## 实时小部件
15 个交互式小部件实时演示各项技术:
| 小部件 | 演示 |
|--------|------|
| VADER | HWBP 绕过 runtime — DR0/DR1 已设置,AMSI/ETW 已静默 |
| IRON-DOME | 8 层编译 + AV 扫描模拟 + kill chain |
| Networking 101 | OSI 模型 ↔ TCP/IP 栈切换 |
| Recon | WINRECON ↔ GHOST-SCRAPER 标签页切换 |
| Terminal 101 | IPCONFIG ↔ PROCESSES 实时输出 |
| Privesc | TOKENS ↔ JUICYPOTATO 权限提升 |
| Kill Chain | 全部 7 个阶段:Recon → 武器化 → 投递 → Exploit → 安装 → C2 → 行动 |
| Shellcode | 包含 runtime 编译的汇编构建 (BUILD) |
| WinRecon | IDENTITY ↔ PRIVILEGES 枚举 |
## 基础设施
**当前:** GitHub Pages(免费、快速、CDN)
**域名:** rainfantry.github.io/22nd-survey-division
**目标:** 当收入达到合理水平($500+/月)时,启用自定义域名 + cPanel
**支付:** Stripe(银行卡)+ Wise(银行转账)+ 发票(企业)
**交付:** AES-256 加密的 7z 压缩包,PIN 码将在 24 小时内通过电子邮件发送
**迁移路线图:** 参见 [22sd-battle-plan](https://github.com/rainfantry/22sd-battle-plan)(私有仓库)
## 诚实政策
本课程仅教授授权的安全测试。每个工具都在自有的硬件或授权的实验室环境中进行了测试。所有与 Microsoft 相关的发现均已向 MSRC 提交负责任的披露。
**没有虚假声明:**
- 每个 AV 结果均来自实时测试,而非臆测
- 每张截图均来自真实执行,而非模型图
- 每个模块都教授其背后的原理,而不仅仅是教你如何照搬
- 每个工具都坦诚地包含了其局限性和检测维度
**你在这里学不到:**
- 如何黑入随机的人群(非法且不道德)
- 如何逃避执法(不可能且愚蠢)
- 如何一夜暴富(这是一门手艺,不是买彩票)
**你将学到:**
- Windows 底层的实际运行机制
- AV/EDR 如何检测威胁以及如何从工程角度规避它
- 如何从基本原理开始构建工具
- 如何像攻击者一样思考,从而像防守者一样防御
## 法律
**实体:** OCCUPATION FORCE CALLSIGN GSW PTY LTD
**ABN:** 50 692 429 397
**ACN:** 692 429 397
**MSRC:** VULN-195458(负责任的披露)
**所在地:** 澳大利亚新南威尔士州悉尼
## 联系方式
- **电子邮件:** gwu0738@gmail.com
- **LinkedIn:** [linkedin.com/in/georgewu108](https://linkedin.com/in/georgewu108)
- **GitHub:** [github.com/rainfantry](https://github.com/rainfantry)
- **Discord:** The Coalition(通过电子邮件发送邀请)
*VIDIMUS OMNIA — 我们洞察一切。*
标签:DNS 反向解析, Gophish, IP 地址批量处理, UML, Web报告查看器, 中高交互蜜罐, 云资产清单, 后端开发, 安全培训, 恶意软件开发, 数据展示, 红队, 逆向工程