sexyiam/AceLdr

GitHub: sexyiam/AceLdr

AceLdr 是一个 Windows 用户态分阶段加载器,通过环境探针、Dirty Vanity 进程克隆和页面级加密等技术实现红队行动中的隐蔽 payload 执行与安全检测规避。

Stars: 0 | Forks: 0

# AceLdr 仅供实验室/研究使用。请勿在你不拥有的任何设备上运行。 这是一个用户态 stage 加载器。它会拉取一个 AceCipher blob,依次通过 AceGate 和环境探针进行处理,然后利用 Dirty Vanity 克隆出一个执行 AceStream 的进程(页面保持加密状态,仅保留较小的热窗口)。宿主文件为 Windows 子系统下的 `RuntimeBroker.exe`。 ## 目录结构 ``` AceLdr/ core/ C/H + ver.rc + profile.h forge/ seal.py (pack) / peel.py (Rich strip) out// RuntimeBroker.exe + stage.bin BrokerHost.sln BrokerHost.vcxproj LIMITS.md ``` 没有嵌套的 `broker/` 目录树——所有内容都存放在 `core/` 和 `forge/` 下。特意保持扁平化结构。 ## 功能 | 功能 | 状态 | 备注 | |---|---|---| | AceCipher | 是 | 页面密钥加密的 Speck stage;会话密钥在 `profile.h` 中由主密钥封装 | | AceStream | 是 | 克隆进程中的 VEH 页面窗口——页面保持加密状态,仅保留较小的热数据集 | | AceGate | 是 | 通过 halo SSN 和 ntdll syscall gadget 间接调用 Nt* (`gate.c`) | | 环境探针 | 是 | 在拉取任何内容之前执行 `probe_env_ok`(检测 AV hook / 时序 / 伪造网络等) | | Dirty Vanity | 是 | 基于挂起的 System32 RuntimeBroker 诱饵进程调用 `RtlCreateProcessReflection` | | 多态封装 | 是 | `seal.py` 每次封装都会生成全新的 magic/master/nonce/keys 并进行填充 | | Patchless AMSI/ETW | 是 | 在 `AmsiScanBuffer` / `EtwEventWrite` 上使用 HWBP + VEH;若安装失败则软失败 | | 哈希 API 解析 | 是 | djb2 模块/导出表遍历 (`walk.c`)——WinInet、CreateProcess、Nt* 等 | | PPID 欺骗 | 是 | 尽可能将父进程设为 explorer,否则使用普通的挂起方式创建 | | KnownDlls unhook | 是 | 从 `\KnownDlls\ntdll.dll` 重新映射 ntdll 的 `.text` 段 | | Rich 头清除 | 是 | 构建后使用 `forge/peel.py` 将 Rich 头清零 | | Windows 子系统 / RuntimeBroker | 是 | 子系统为 Windows,输出文件名为 `RuntimeBroker.exe` | ## 编译 ``` msbuild BrokerHost.sln /p:Configuration=Release /p:Platform=x64 ``` 生成 `out\Release\RuntimeBroker.exe`。 ## 封装与冒烟测试 如果你只想看看它是否能正常运行,大致流程如下: ``` python forge\seal.py payload.bin --url http://127.0.0.1:8000/stage.bin --out out\Release\stage.bin --cfg core\profile.h msbuild BrokerHost.sln /p:Configuration=Release /p:Platform=x64 python -m http.server 8000 .\out\Release\RuntimeBroker.exe ``` `seal.py` 会写入 stage blob 并重新生成 `core\profile.h`(包含 magic、master 和异或处理过的 URL)。封装后必须重新编译,否则宿主程序将无法应用新的配置。 ## 携带 仅需分发 `RuntimeBroker.exe`。Stage 会从封装好的 URL 获取——切勿将 `stage.bin` 与宿主程序打包在一起。 ## 局限性 我们无法隐藏的内容 / 已知的痕迹:请参阅 `LIMITS.md`。
标签:DNS 反向解析, Linux, macOS, SSH蜜罐, 客户端加密, 恶意软件, 知识库安全, 进程注入, 逆向工具