voidvxvi/HellBunny

# HellBunny 🐇🔥 HellBunny 是一个用 C 和汇编编写的可塑性 shellcode 加载器，利用直接和间接系统调用来规避 EDR 挂钩。 它可以构建为 EXE、DLL 或 XLL，并提供了多种 QoL 功能，使其适应性更强。

本研究项目的目的是全面理解 Windows 操作系统的架构和内部机制，包括 Native API、进程和线程环境块以及 PE 文件格式，同时探索 EDR 软件在运行时收集遥测数据和检测恶意软件的技术。 ## 功能特性 - **系统调用** - 直接调用 NtAPI - 执行直接系统调用 - 在 ntdll.dll 中执行间接系统调用 - 在 win32u.dll 中执行间接系统调用 - 通过 Hell's Gate 和 Halo's Gate 解析系统服务号 (SSN) + 早期挂钩检测 (JMP 操作码) - **编译为** - EXE - DLL - XLL - **CRT 独立性** - **Shellcode 加密**： - AES-256-CTR - XChaCha20 - **自定义 DLL 入口点名称**（用于旁路加载攻击） - **IAT 伪装** - **从 PEB 自定义解析模块和函数（用于隐藏函数导入）** - **支持本地和远程注入。设计开放，可实施额外的注入方法** - **字符串哈希算法：** - CRC32B - FNV1A32B - DJB2 - **字符串加密**：字符串使用单字节密钥进行 XOR 加密，以在二进制文件中对其进行混淆 - shellcode 从远程 Web 服务器下载 - 如果由 rundll32 执行，则擦除命令行参数 ## 致谢 - [@bakki](https://x.com/shubakki) - [@C5pider](https://x.com/c5pider) -> [Havoc C2 Implant](https://github.com/HavocFramework/Havoc/tree/main/payloads/Demon) - [MalDevAcademy](https://maldevacademy.com/) - [https://github.com/realoriginal/titanldr-ng](https://github.com/realoriginal/titanldr-ng) - [https://github.com/am0nsec/HellsGate](https://github.com/am0nsec/HellsGate) - [https://blog.sektor7.net/#!res/2021/halosgate.md](https://blog.sektor7.net/#!res/2021/halosgate.md) - [https://github.com/mrexodia/phnt-single-header](https://github.com/mrexodia/phnt-single-header) - [https://github.com/kokke/tiny-AES-c](https://github.com/kokke/tiny-AES-c) - [https://github.com/spcnvdr/xchacha20](https://github.com/spcnvdr/xchacha20)

标签：AES加密, API脱钩, DLL侧载, DLL劫持, DNS 反向解析, EDR绕过, Halo's Gate, Hell's Gate, IAT伪装, IP 地址批量处理, PEB遍历, TGT, Windows底层开发, XChaCha20, 中高交互蜜罐, 字符串混淆, 客户端加密, 客户端加密, 快速连接, 恶意软件开发, 攻防演练, 汇编语言, 知识库安全, 自动回退, 间接系统调用, 高交互蜜罐