文章总结： MasterV2.0是一款专为行动安全和规避研发的工具，集成了权限维持、权限提升、后渗透利用、白流量通讯、堆栈欺骗等高阶技术。文章详细介绍了其多个功能模块，包括Shell命令执行、屏幕截图、AMSI和ETW动态处理、杀软对抗、凭据窃取、权限维持、提权、文件管理和进程注入等。该工具由纯C构成的Beacon端和C#实现的GUI组成，具有强大的规避性能，如OneDrive白流量通讯、自定义取消钩子、调用堆栈欺骗等功能，适用于红队活动和渗透测试场景。 综合评分： 76 文章分类： 红队,内网渗透,渗透测试,免杀,安全工具

Master V2.0全新推出

巡音安全

2025年12月3日 13:49 江苏

距离上一次发布已经过去两个多月，也重构了许多内容因此推出全新2.0版本

Master致力于为行动安全和规避而研发，自身集成了权限维持，权限提升，后渗透利用，白流量通讯，堆栈欺骗等一系列高阶技术

本文将尽可能细致的讲解对应的技术以及实现逻辑

Beacon端由纯C构成，GUI由C#实现

规避性能

• OneDrive白流量通讯
• 自定义取消钩子以移除用户模式钩子
• 调用堆栈欺骗，用于掩盖 PE 生成的线程堆栈。
• AMSI&ETW动态处理，用于掩盖net和etw事件记录
• 系统调用代理，允许 PE 通过线程池执行间接系统调用。
• 用于代理 DLL 加载的 opsec LoadLibrary 实现，
• 用于动态解析和执行间接系统调用的插件，

功能支持

shell–常规命令执行

Screenshot–屏幕截图

Amsi–动态处理Amsi的模块

Etw–动态处理Etw的模块

init–重新初始化

AV/Edr–杀软对抗模块

Credentials–凭据窃取模块

Task Scheduler–权限维持模块

LEP–提权模块

Driver–BYOVD模块（暂时不提供）

FileManager–文件管理模块

Tasklist–进程管理与注入模块

bof_load–自定义bof加载模块

Sleep–改变睡眠时间模块

Client Manager–客户端管理模块

Shell板块

常规命令执行：

bof执行：

Screenshot模块–屏幕截图

常规屏幕截图

Amsi模块

通过PatchAmsiScanBufferJe实现，可以在Win11上稳定运行

ETW模块

通过修补EtwEventWriteFull 实现

预计下个版本添加通过程序会话劫持实现ETW处理

init模块

网络波动时通过init重新返回beacon信标

AV/Edr–杀软对抗模块

WDAC-Administrator权限下利用Windows Defender Application Control 添加百名吧

WFP-添加WFP过滤让AV/EDR无法向云端发送数据

Credentials–凭据窃取模块

Navicat_connect:导出数据库连接

Sam_Dump：通过RPC导出SAM库

Lsass_Dump:

–WSASS ：转储Win11即PPL保护的lsass

–Dump：高规避性调用Minidump然后加密

RDP

–HOOK 注入MSTSC然后HOOK获取后续登录的凭据

–Connect_list 获取直接连接的主机记录

Cloud_Credential:获取本地云凭据信息，AZURE GOOGLE AWS凭据

Browser：支持浏览器凭据获取：

–支持DPAPI解密&部分浏览器内存解密

Task Scheduler–权限维持模块

–Read_XML:读取xml的计划任务实现劫持

–COM:调用COM接口添加计划任务

–Companion:实现不可见的计划任务

–Dll_Proxy:dll伴生启动实现维权

LPE_提权模块

Net_load 修改过后的Potato实现权限提升-结合AMSI实现内部绕过

FileManager–文件管理模块

支持常规文件下载，文件上传

调用COM接口实现文件执行

Tasklist–进程管理与注入模块

  –inject 进程注入 支持shellcode注入或者自研dll注入来实现凭据窃取

  –ppid  父进程欺骗

此外：还会提供专门定制化的白加黑loader加载器

详情+v：djeijek

查看原文：《Master V2.0全新推出》