xchgll/BeBeeLoader

GitHub: xchgll/BeBeeLoader

BeBeeLoader 是一个教育性 shellcode 加载器,通过位图隐写、XOR 加密、indirect syscalls 和 Early Bird APC 注入等技术演示如何绕过 Windows Defender。

Stars: 2 | Forks: 0

# BeBee Loader ![截图](https://static.pigsec.cn/wp-content/uploads/repos/cas/ad/ad1aaf1b77afce5a2c877704c8e28809f8396fa8f1807211322f965618b07705.png) **BeBee** loader 是一个 **shellcode loader** 和教育性项目,旨在通过多种技术绕过 windows defender。 ## 功能 && 工作原理 ? - 加密你的 shellcode,并将其作为位图图像存储在 PE 资源中 - 在运行时从资源中提取 shellcode 并对其进行解密 - 使用 indirect syscalls 进行内存操作和执行 - Early Bird APC Injection - 截至目前(2026 年 7 月),已绕过 Windows Defender <= 11 ## 伪造的 BMP 格式 ``` SIZE (bytes): DATA: 14 Fake BMP Header 4 Xor Decrytion Key 40 NOP Sled ... Encrypted Shellcode ``` ## 用法 1. 使用 havoc、metasploit 或其他工具生成 shellcode 2. 克隆 repo && 进入 `src` 文件夹 ``` git clone https://github.com/xchgll/BeBeeLoader.git && cd src ``` 3. 运行 `create_shellcode.py`,这将创建加密资源和 .rc 文件 ``` python create_shellcode.py demon.x64.bin ``` 4. 运行 `build.bat`,这将生成最终的 implant `main.exe` ## 致谢 && 特别感谢 [Reenz0h](https://blog.sektor7.net/#!res/2021/halosgate.md) 提供 Halos Gate 技术 [在 X 上关注我](https://x.com/xchgll)
标签:云资产清单, 免杀工具, 客户端加密, 端点可见性, 逆向工具, 逆向工程