xchgll/BeBeeLoader
GitHub: xchgll/BeBeeLoader
BeBeeLoader 是一个教育性 shellcode 加载器,通过位图隐写、XOR 加密、indirect syscalls 和 Early Bird APC 注入等技术演示如何绕过 Windows Defender。
Stars: 2 | Forks: 0
# BeBee Loader

**BeBee** loader 是一个 **shellcode loader** 和教育性项目,旨在通过多种技术绕过 windows defender。
## 功能 && 工作原理 ?
- 加密你的 shellcode,并将其作为位图图像存储在 PE 资源中
- 在运行时从资源中提取 shellcode 并对其进行解密
- 使用 indirect syscalls 进行内存操作和执行
- Early Bird APC Injection
- 截至目前(2026 年 7 月),已绕过 Windows Defender <= 11
## 伪造的 BMP 格式
```
SIZE (bytes): DATA:
14 Fake BMP Header
4 Xor Decrytion Key
40 NOP Sled
... Encrypted Shellcode
```
## 用法
1. 使用 havoc、metasploit 或其他工具生成 shellcode
2. 克隆 repo && 进入 `src` 文件夹
```
git clone https://github.com/xchgll/BeBeeLoader.git && cd src
```
3. 运行 `create_shellcode.py`,这将创建加密资源和 .rc 文件
```
python create_shellcode.py demon.x64.bin
```
4. 运行 `build.bat`,这将生成最终的 implant `main.exe`
## 致谢 && 特别感谢
[Reenz0h](https://blog.sektor7.net/#!res/2021/halosgate.md) 提供 Halos Gate 技术
[在 X 上关注我](https://x.com/xchgll)
标签:云资产清单, 免杀工具, 客户端加密, 端点可见性, 逆向工具, 逆向工程