xec412/XeraLdr

GitHub: xec412/XeraLdr

一款模块化的 Windows payload 加载器,通过多种高级规避技术绕过现代 EDR 检测,实现隐蔽执行。

Stars: 69 | Forks: 9

# XeraLdr 一款由 **xec412** 开发的隐蔽且模块化的 Windows loader。

XeraLdr Banner

## ⚠️ 免责声明 本项目仅供**教育和研究目的**使用。 未经授权针对您不拥有的系统进行操作是违法行为。 ## 概述 XeraLdr 是一款自定义 loader,旨在针对现代 EDR 解决方案以极高的隐蔽性执行 payload。 **测试环境:** Microsoft Defender for Endpoint (MDE) **结果:** 经过数小时的活动后未出现任何警报。 **视频演示:** [绕过 MDE - XeraLdr 展示](https://www.youtube.com/watch?v=Y_QTzyn_hFA) **使用的 Payload:** 自定义编写的反向 TCP shellcode ## 核心技术及其选择原因 ### 1. Module Stomping(牺牲 DLL 技术) - **为什么?** 大多数内存扫描器专注于新分配的私有内存区域。通过 stomping 合法的系统 DLL,我们得以在受信任的映像-backed 内存空间中执行操作。 - **优势:** 对抗内存扫描器和启发式检测的能力非常强。 ### 2. IAT 伪装 + Library Proxy 加载 - **为什么?** 许多 EDR 会监控可疑的 Import Address Table 和 API 解析过程。 - **优势:** 针对静态和行为分析提供了极佳的保护。 ### 3. 代理执行 API - **为什么?** 直接的 API 调用会受到严密监控。使用代理函数有助于规避行为检测。 - **优势:** 减少了可疑的 API 调用模式。 ### 4. 高级反分析 - **为什么?** 阻止在虚拟机、调试器和沙箱中执行。 - **优势:** 在初始执行阶段保护 loader。 - **参考:** [Sandbox-Detection-Techniques](https://github.com/arxhr007/Sandbox-Detection-Techniques) ### 5. ChaCha20 加密 + BaseN 编码 - **为什么?** 强加密使得静态签名检测变得极其困难。 - **优势:** Payload 在 runtime 之前保持加密状态。 - **参考:** [LibTomCrypt](https://github.com/libtom/libtomcrypt) ### 6. 资源段 Payload 交付 - **为什么?** 将 payload 保留在二进制文件内,减少可疑的磁盘活动。 ### 7. Zilean Sleep 混淆(带有 Stack 复制和 Heap 加密) - **为什么?** 经典的 `Sleep()` 极易被检测。使用 `SystemFunction040/041`(RtlEncryptMemory / RtlDecryptMemory)进行 Heap 加密和 Stack 复制,使得睡眠阶段变得更加隐蔽。 - ** - **警告:** 如果您使用的是像 `calc.exe` 这样的瞬态 payload,进程将执行 payload 并立即调用 `ExitThread`。因此,睡眠混淆机制将不会被触发。为了让此技术按预期工作,请确保您使用的是能保持线程执行流程存活的持久化 payload(例如,反向 shell)。 - **参考:** [C5pider 的推文](https://x.com/C5pider/status/1743209459533435308) ## 截图 ### 1. IAT 伪装 ![IAT 伪装](https://static.pigsec.cn/wp-content/uploads/repos/cas/1b/1b4319ea2c3bf33d62d77f88607340d539e7c5c58e3fe20e6c44024115da58c2.png) ### 2. Call Stack 分析 ![Call Stack](https://static.pigsec.cn/wp-content/uploads/repos/cas/ae/aefeeaf3d911194d8425b41cdca82b959410ca58f1bdead211fbb4ff78a5039a.png) ### 3. 成功的反向 Shell ![Reverse Shell](https://static.pigsec.cn/wp-content/uploads/repos/cas/ba/ba7b9b3fc5e282f1ef9fa7d2c07e001cca9e624431db0e7a5bcdc09c80242d61.png) ## 构建说明 1. 克隆代码库: git clone https://github.com/xec412/XeraLdr.git 2. 使用 Visual Studio 打开解决方案文件 `XeraLdr.slnx`。 3. 选择 **Release | x64** 配置。 4. 转到 **Build -> Rebuild Solution**。 所有必要的构建设置都已在项目中配置完毕。无需进行额外的更改。 ## 学习资源 - [Maldev Academy](https://maldevacademy.com) ## 参考 - [Sandbox-Detection-Techniques](https://github.com/arxhr007/Sandbox-Detection-Techniques) - [LibTomCrypt](https://github.com/libtom/libtomcrypt) - [C5pider 关于 Sleep 混淆的推文](https://x.com/C5pider/status/1743209459533435308) ## 法律声明 本项目基于 **GPL-3.0 License** 授权。 详情请参阅 [LICENSE](LICENSE) 文件。
标签:DNS 反向解析, EDR绕过, UML, 免杀技术, 加载器, 客户端加密, 恶意软件, 暴力破解检测, 端点可见性, 道德黑客, 高交互蜜罐