Shhhloader：一款强大的Shellcode加载器

项目介绍

Shhhloader 是一款正在开发中的Shellcode加载器，旨在通过编译C++存根来绕过防病毒软件（AV）和端点检测与响应（EDR）系统。它接受原始Shellcode作为输入，并生成一个C++存根，该存根通过多种技术来尝试绕过AV/EDR的检测。Shhhloader的Python构建器可以在任何安装了Mingw-w64的Linux系统上运行。

最新更新中，Shhhloader增加了对Havoc C2的支持，并改进了默认的沙箱规避方法，使其效果更佳。此外，Shhhloader还包含一个用于Cobalt Strike的Aggressor脚本，方便用户在红队操作中使用。

项目技术分析

Shhhloader的核心技术包括：

1. 多种Shellcode执行方法：支持8种不同的Shellcode执行方法，如ThreadlessInject、ModuleStomping、QueueUserAPC等，每种方法都有其独特的绕过检测机制。
2. PPID欺骗：通过PPID欺骗技术，可以伪装成其他进程的子进程，从而绕过某些检测机制。
3. NTDLL解钩：通过解钩NTDLL，可以绕过某些基于钩子的检测机制。
4. SysWhispers支持：集成了SysWhispers2和SysWhispers3，支持直接调用系统调用，绕过API钩子。
5. 编译时字符串加密：在编译时对字符串进行加密，增加静态分析的难度。
6. Obfuscator-LLVM支持：通过Obfuscator-LLVM对生成的存根进行混淆，进一步增加逆向工程的难度。
7. 沙箱规避：支持多种沙箱规避技术，如通过加载的DLL、域名、用户名、主机名等进行检测，避免在沙箱环境中执行。

项目及技术应用场景

Shhhloader适用于以下场景：

1. 红队渗透测试：在红队渗透测试中，Shhhloader可以帮助红队成员绕过目标系统的安全防护，执行恶意代码而不被检测。
2. 恶意软件开发：恶意软件开发者可以使用Shhhloader生成难以检测的Shellcode加载器，提高恶意软件的生存能力。
3. 安全研究：安全研究人员可以使用Shhhloader进行实验，研究各种绕过AV/EDR的技术，提升对现代安全防护机制的理解。

项目特点

Shhhloader的主要特点包括：

1. 高度可定制：用户可以根据需要选择不同的Shellcode执行方法、沙箱规避技术等，灵活应对不同的安全环境。
2. 强大的绕过能力：通过多种技术手段，Shhhloader能够有效绕过大多数常见的AV/EDR检测机制。
3. 易于使用：Shhhloader提供了Python构建器，用户只需简单配置即可生成所需的Shellcode加载器。
4. 持续更新：项目正在积极开发中，未来将增加更多功能和改进现有功能，如硬件断点（HWBP）系统调用选项、使用系统调用创建进程等。

结语

Shhhloader作为一款功能强大的Shellcode加载器，不仅提供了多种绕过AV/EDR的技术手段，还具有高度的可定制性和易用性。无论是红队渗透测试、恶意软件开发还是安全研究，Shhhloader都能为用户提供强有力的支持。如果你正在寻找一款能够有效绕过现代安全防护机制的工具，Shhhloader绝对值得一试。