文章总结: 本文介绍了一款名为Founding的免杀Shellcode加载器工具。该工具支持多种加密与混淆技术(如AES/XOR/RC4及IPv4/UUID混淆),具备动态API哈希、IAT伪装及ETW/AMSI绕过能力。它提供Fibers、APC等多种进程注入与执行方式,并包含沙箱检测与反分析功能,旨在帮助红队在渗透测试中生成隐蔽性高的二进制载荷。 综合评分: 60 文章分类: 安全工具,免杀,红队,渗透测试
次世代免杀shellocde加载器
原创
aeverj aeverj
红队工坊
2026年2月5日 08:34 北京
前言
在红队行动和渗透测试中,如何让恶意载荷绕过安全防护软件的检测一直是一个关键挑战。今天给大家介绍一款名为 Founding 的开源工具,它能够对 shellcode 进行高级混淆和加密处理,生成具有复杂执行方式的隐蔽二进制文件。
工具概述
Founding 是一款支持处理 .bin、.exe 或 .dll 格式 shellcode 的工具,通过应用先进的混淆和加密技术,生成具有复杂执行机制的隐蔽性二进制文件。
核心特性
每次编译都会应用的基础功能
| 功能 | 说明 |
| — | — |
| 动态 API 哈希 | 运行时为 API 函数生成唯一的哈希值,规避检测 |
| IAT 伪装 | 调用特定的 Windows API 函数以增强二进制文件的合法性 |
| 最小化 CRT | 移除 CRT 库,精确控制导入地址表 |
| 水印功能 | 在 DOS Stub、校验和、PE 节或文件覆盖层中嵌入自定义水印 |
| 资源文件 | 嵌入模仿 cleanmgr.exe 的文件属性以增加真实性 |
| 前导字节 0xFC 0x48 | 在 shellcode 前添加 \xFC\x48 以绕过静态分析 |
加密与混淆选项
混淆方式
- IPv4/IPv6/MAC/UUID 混淆
加密方式
- XOR 加密
- RC4 加密
- AES 加密
额外特性
- 载荷填充(Payload Padding)增强混淆效果
- 每次运行随机生成加密密钥
载荷生成器类型
| 生成器类型 | 功能描述 |
| — | — |
| Raw | 直接处理 .bin 格式的载荷 |
| Donut | 使用 Donut 创建不带 AMSI 绕过的 .bin |
| Clematis | 使用 Clematis 生成带 garble 混淆和压缩的 .bin |
| Powershell-donut | 使用 PS2EXE 和 Donut 将 .exe 转换为 .bin |
执行技术
工具支持多种高级执行技术:
| 执行类型 | 技术描述 |
| — | — |
| APC | 通过异步过程调用执行 |
| Early-Bird-Debug | 使用 APC 配合远程调试或挂起进程 |
| EnumThreadWindows | 利用 EnumThreadWindows 回调函数 |
| Local-Mapping-Inject | 使用挂起线程进行本地映射 |
| Early-Cascade | Hook ntdll!SE_DllLoaded 执行载荷 |
| Fibers | 无需创建新线程即可切换执行上下文 |
| Process-Hypnosis | 在被调试的子进程中运行载荷后分离 |
| Tp-Alloc | 使用线程池 API 排队执行 shellcode |
| Local-Hollowing | 在挂起的主线程中复制并运行 PE |
可选功能模块
间接系统调用
- Hells-Hall:将所有实现更改为间接系统调用(HellsHall)
- Syswhispers3:将所有实现更改为间接系统调用(SysWhispers3)
编译器选项
- Clang-LLVM:使用 Clang-LLVM 混淆来规避静态分析
AMSI 绕过技术
| 技术名称 | 原理 |
| — | — |
| Amsi-Opensession | Patch AmsiOpenSession 返回无效参数 |
| Amsi-Scanbuffer | Patch AmsiScanBuffer 返回无效参数 |
| Amsi-Signature | Patch AmsiSignature 破坏签名值 |
| Amsi-Codetrust | Patch WldpQueryDynamicCodeTrust 返回无效参数 |
Unhooking(脱钩)技术
| 技术名称 | 原理 |
| — | — |
| Unhooking-Createfile | 使用 CreateFileMappingA 映射解钩 ntdll.dll |
| Unhooking-Knowndlls | 从 KnownDlls 目录解钩 ntdll.dll |
| Unhooking-Debug | 从新的调试进程复制 NTDLL 进行解钩 |
| Hookchain | 修改 IAT 重新路由函数调用 |
ETW 绕过技术
| 技术名称 | 原理 |
| — | — |
| Etw-Eventwrite | Patch 多个 ETW 写入函数致盲 EDR 遥测 |
| Etw-Trace-Event | Patch NtTraceEvent 致盲 EDR 遥测 |
| Etw-pEventWriteFull | Patch 私有函数返回无效参数 |
沙箱绕过技术
| 技术名称 | 检测方式 | | — | — | | Api-Hammering | 创建随机文件读写,延迟执行 10 秒 | | Delay-Mwfmoex | 使用特定 API 延迟执行 10 秒 | | Fibonacci | 计算斐波那契数列延迟 10 秒 | | Mouse-Clicks | 20 秒内记录点击次数,少于 1 次判定为沙箱 | | Resolution | 检查分辨率判断是否为沙箱环境 | | Processes | 进程数少于 50 个判定为沙箱 | | Hardware | 检查 CPU、内存、USB 数量判断沙箱 |
载荷控制
- Check-Running:检查是否已运行,防止重复执行
- Self-Delete:执行期间自我删除
其他功能
- Dll / Dll-Stealthy:创建 DLL 文件
- Service:创建可作为服务运行的可执行文件
- Inflate:使用随机单词膨胀文件大小
- Sign:使用证书签名最终可执行文件
- No-Window:无窗口运行
- No-Print:移除所有打印输出
- Decoy:嵌入诱饵文件(如 PDF)
使用方法
基本语法
Founding.exe <生成器类型> <文件.bin/.exe/.dll> <加密/混淆选项> <执行类型> <可选标志>
使用示例
Founding.exe donut mimikatz.exe mac fibers --hells-hall
执行后会看到如下输出:
[+] Running donut
[+] Do you want to include parameters? (Y/N): n
[+] Erwin.bin created using donut.
[+] Including EXEC (Fibers) functionality in compilation...
[+] Including INDIRECT SYSCALLS (Hells Hall Fibers) functionality in compilation...
[+] Compiling with GCC...
[+] Compilation successful.
[+] Shinzo wo Sasageyo! Erwin.exe Created.
执行
注意事项
⚠️ 重要提示:
- 需要交互式 shell 的工具(如 Mimikatz)与远程进程技术不兼容
- 每次编译的代码可在
\output\code\目录中找到 - 测试 DLL 可使用
\founding\misc\dll_test目录下的dlltest.exe - 使用 Clang-LLVM 编译器需要安装
\founding\dependencies\目录下的vs_BuildTools.exe
请在微信客户端打开
关注公众号
回复关键字found获取项目地址
如果你对网络安全、红队攻防技术充满热情,渴望学习更多实战技巧,例如渗透测试、自动化脚本编写、免杀技术等, 欢迎关注我的公众号
在这里,我会持续分享更多高质量的技术文章,与你一同探索网络安全的奥秘,提升实战技能! 让我们一起在队攻防的道路上,不断精进,突破边界!
免责声明: 本文仅供安全技术研究与学习交流之用。 严禁将本文所提及的技术用于任何非法用途,包括但不限于未经授权的渗透测试、网络攻击、恶意代码传播等。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:红队工坊 aeverj aeverj《次世代免杀shellocde加载器》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论