{"id":25195665,"url":"https://github.com/wangfly-me/LoaderFly","last_synced_at":"2025-10-24T22:31:35.238Z","repository":{"id":189990609,"uuid":"681713801","full_name":"wangfly-me/LoaderFly","owner":"wangfly-me","description":"助力每一位RT队员，快速生成免杀木马","archived":false,"fork":false,"pushed_at":"2024-04-17T08:31:16.000Z","size":3369,"stargazers_count":578,"open_issues_count":11,"forks_count":76,"subscribers_count":8,"default_branch":"master","last_synced_at":"2024-04-17T11:02:33.917Z","etag":null,"topics":["beacon","bypass-antivirus","bypassedr","cobalt-strike","shellcode-loader"],"latest_commit_sha":null,"homepage":"","language":"C","has_issues":true,"has_wiki":null,"has_pages":null,"mirror_url":null,"source_name":null,"license":null,"status":null,"scm":"git","pull_requests_enabled":true,"icon_url":"https://github.com/wangfly-me.png","metadata":{"files":{"readme":"README.md","changelog":null,"contributing":null,"funding":null,"license":null,"code_of_conduct":null,"threat_model":null,"audit":null,"citation":null,"codeowners":null,"security":null,"support":null,"governance":null,"roadmap":null,"authors":null,"dei":null}},"created_at":"2023-08-22T15:40:39.000Z","updated_at":"2024-04-17T10:45:11.000Z","dependencies_parsed_at":"2024-04-06T07:32:49.489Z","dependency_job_id":"811dc227-ef45-498c-80e1-92509374eb98","html_url":"https://github.com/wangfly-me/LoaderFly","commit_stats":null,"previous_names":["wangfly-me/loaderfly"],"tags_count":3,"template":false,"template_full_name":null,"repository_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/wangfly-me%2FLoaderFly","tags_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/wangfly-me%2FLoaderFly/tags","releases_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/wangfly-me%2FLoaderFly/releases","manifests_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/wangfly-me%2FLoaderFly/manifests","owner_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners/wangfly-me","download_url":"https://codeload.github.com/wangfly-me/LoaderFly/tar.gz/refs/heads/master","host":{"name":"GitHub","url":"https://github.com","kind":"github","repositories_count":238039712,"owners_count":19406398,"icon_url":"https://github.com/github.png","version":null,"created_at":"2022-05-30T11:31:42.601Z","updated_at":"2022-07-04T15:15:14.044Z","host_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub","repositories_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories","repository_names_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repository_names","owners_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners"}},"keywords":["beacon","bypass-antivirus","bypassedr","cobalt-strike","shellcode-loader"],"created_at":"2025-02-10T01:02:43.293Z","updated_at":"2025-10-24T22:31:29.687Z","avatar_url":"https://github.com/wangfly-me.png","language":"C","funding_links":[],"categories":["C","红队\u0026渗透测试"],"sub_categories":[],"readme":"# LoaderFly\n\n原版程序：https://github.com/knownsec/shellcodeloader\n\n二开作者：Wangfly\n\n请大家多多提交issues，感谢！！！\n\n\n## 开发需求\n\n1. 原版项目已经不免杀了，需要bypass常见杀软。\n2. 在HW、攻防演练等场景下，需要快速生成免杀木马，并且保证文件md5都不一样。\n3. 节约时间，不用在项目上，投入专门的人员进行代码编写。\n4. 高度可拓展和自定义。\n\n\n## 魔改二开\n\n1. 远程加载将Shellcode和loader分开，loader里面只保留Shellcode的URL地址，方便随时销毁。\n2. 加入Hex、Base64（自定义）加密算法，保留原本的流加密算法，以当前时间戳为key，进行对URL加密，将其保存在资源节中。\n3. 木马名称随机化，加上流加密算法，使得每次生成的木马md5都不一样。\n4. 加入了AES（外部传key）、Base64（自定义）、RC4（自定义）算法加密解密Shellcode。\n5. 高危Windows API，全部采用动态加载的方式，能够使用NT函数替换的全部进行了替换，部分模板的函数API进行了UnhookPatch。\n6. 针对卡巴斯基、Norton等对内存查杀较严的杀软，采取IAT Hook和VEH Hook对Beacon进行内存加密+配合C2profile的Sleep_mask选项和自定义通信方式基本无解。\n7. 针对Norton、360qvm等静态查杀较严的杀软，使用Arkari进行代码混淆。\n8. 增强完善了反沙箱、反调试。\n\n\n\n## 上线方式\n\n### 64位\n\n![image-20230822232402552](./assets/image-20230822232402552.png)\n\n\n\n### 32位\n\n![image-20230822232413254](./assets/image-20230822232413254.png)\n\n\n\n## 编译设置\n\n1. Release进行编译，设置为MT、/arch：x64、**语言标准选择C++ 17**，生成的文件是**DAT**后缀的。\n2. 若你的vs2022有安装集成[Arkari](https://github.com/KomiMoe/Arkari)，那么免杀效果更好，没有的话，普通生成即可。\n3. 模板代码选择不生成Debug调试信息和清单文件，还需要调整堆栈保留大小为3MB。\n\n\n\n## 食用方式\n\n1. 加密Shellcode，选择Stagerless，生成RAW格式。\n\n   ![image-20230816120053410](./assets/image-20230816120053410.png)\n\n\n\n2. 生成的beacon.bin放入程序目录下，然后运行命令加密，AES key可以自定义（256bit）。\n\n   ```shell\n   encbin.exe bin文件 AES key\n   ```\n\n   \n\n   ![image-20230820163154848](./assets/image-20230820163154848.png)\n\n   \n\n   \n\n3. 将P.bmp上传至云端生成链接，**链接必须是访问后，自动下载那种**。\n\n   ![image-20230817102138676](./assets/image-20230817102138676.png)\n\n   \n\n4. URL填入，AES key填入，选择模板生成即可。\n\n   ![image-20230820163357653](./assets/image-20230820163357653.png)\n\n\n\n## 整体免杀效果\n\n### 卡巴斯基企业版\n\n![image-20230815190009417](./assets/image-20230815190009417.png)\n\n\n\n### Norton\n\n启发式查杀很厉害，需要给木马加入正常程序的图标、版本信息、清单、数字签名。必须使用Bof操作，shell运行就掉线。\n\n![image-20230815190031226](./assets/image-20230815190031226.png)\n\n\n\n### ESET\n\n自定义扫描了系统内存和桌面文件。\n\n![image-20230815190420375](./assets/image-20230815190420375.png)\n\n\n\n### 360全家桶（物理机）\n\nQVM引擎（很疯狂，大部分时候真不是代码问题）需要做和Norton一样的处理。\n\n![image-20230815191239326](./assets/image-20230815191239326.png)\n\n\n\n### WDF（2016服务器版本）\n\n运行后会提示你复查，不用管，依旧可以上线。\n\n![image-20230815191606194](./assets/image-20230815191606194.png)\n\n\n\n### 火绒+金山\n\n![image-20230815192037892](./assets/image-20230815192037892.png)\n\n\n\n### McAfee\n\n![image-20230815231506639](./assets/image-20230815231506639.png)\n\n\n\n## 单个免杀效果\n部分杀软需要添加白程序的签名、版权信息等，如Norton、360、Symantec。\n\n#### APC-Injetc+Ntdll\n\n**bypass**：金山（数字签名）、火绒、ESET、360全家桶（物理机）、WDF（PC）、McAfee、卡巴企业版（时间5s 抖动50 Sleep_mask）\n\n**nobypass**：WDF（服务器无法上线）、Norton（静态）\n\n\u003cbr\u003e\n\n#### CreateRemoteThread+Syscall+Ntdll Inject\n\n**bypass**：McAfee、火绒、金山（数字签名）、ESET、360全家桶（物理机）、WDF（PC）、卡巴企业版（时间5s 抖动50 Sleep_mask）\n\n**nobypass**：Norton（静态）、WDF（服务器无法上线）\n\n\u003cbr\u003e\n\n#### CreateThread-Inject+IAT Hook Inject\n\n**bypass**：McAfee、金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、Norton（加白程序资源）、WDF（PC）、WDF（Server）、Symantec（加白程序资源）\n\n**nobypass**：\n\n\u003cbr\u003e\n\n#### CreateThreatPoolWait+VEH Hook\n\n**bypass**：McAfee、金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、Norton（加白程序资源）、WDF（PC）、WDF（服务器）\n\n**nobypass**：\n\n\u003cbr\u003e\n\n#### Fiber+VEH Hook Load\n\n**bypass**：金山（数字签名）、火绒、ESET、360全家桶（物理机）、WDF（PC）、WDF（服务器提示复查（关云保护））、McAfee、Norton（加白程序资源）、卡巴企业版（时间5s 抖动50 Sleep_mask）\n\n**nobypass**：\n\n\u003cbr\u003e\n\n#### NtTestAlert+VEH Hook Load\n\n**bypass**：金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、WDF（PC）、WDF（服务器提示）、McAfee、Norton（加白程序资源）\n\n**nobypass**：\n\n\u003cbr\u003e\n\n#### Syscall+IAT Hook Load\n\n**bypass**：金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、Norton（加白程序资源）、WDF（PC）、WDF（服务器）、McAfee\n\n**nobypass**：\n\n\u003cbr\u003e\n\n#### Callback+IAT Hook Load plus（x86）\n\n**bypass**：360全家桶（物理机）、WDF（PC）、ESET、金山（数字签名）、火绒、WDF（服务器提）、McAfee、卡巴企业版\n\n**nobypass**：Norton（静态）\n\n\u003cbr\u003e\n\n#### memoryMapInjection+Syscall+Ntdll\n\n**bypass**：360全家桶（物理机）、WDF（PC）、ESET、金山（数字签名）、火绒、WDF（服务器）、McAfee、卡巴企业版（时间5s 抖动50 Sleep_mask）\n\n**nobypass**：Norton（静态），WDF（服务器）\n\n\u003cbr\u003e\n\n#### Function+VEH Hook Load\n\n**bypass**：卡巴企业版、ESET、McAfee、金山（数字签名）、火绒、360全家桶（物理机）（数字签名+版权信息+清单+图标（可有可无））、WDF（PC）、ESET\n\n**nobypass**：Norton（静态）\n\n\n\n## 版本迭代\n\n### 1.0版本\n\n1. 删除部分无效加载器模板。\n2. 完成预定的魔改需求, 更改加密、加入高阶的动态上线方式。\n\n\n\n### 2.0版本\n\n1. APC注入加载器中增加虚假父进程功能。\n2. 增加钓鱼模式，有弹窗事件产生和鼠标移动检测。\n3. 改进APC-Injetc+UnhookingPatch、CreateRemoteThread+Syscall Inject、CreateThread-Inject+IAT Hook Inject三种加载模板。\n\n\n\n### 3.0版本\n\n1. 修复APC-Injetc+UnhookingPatch、CreateRemoteThread+Syscall Inject父进程句柄继承问题、加入重载Ntdll.dll功能，清除EDR挂钩。\n2. UI界面增大，看着更舒服。\n3. 继续修改Dynamic+IAT Hook Load plus（x86），加入回调函数机制，重命名为Callback+IAT Hook Load plus（x86）,实现bypass卡巴。\n4. 修改框架输入，实现输入一个URL即可生成。\n\n\n### 4.0版本\n\n1. 增加memoryMapInjection+Syscall+Ntdll、Function+VEH Hook Load两个模板。\n2. 删除失效报毒的反沙箱、调试代码。\n3. 减少解密算法冗余。\n4. 修改生成器的缓冲区bug。\n\n\n### 5.0版本（开源）\n\n1. APC-Injetc+Ntdll进行改进使用NT函数进行APC注入，bypass卡巴动态。\n2. 增加输入自定义AES Key的功能。\n\n\n## 注意事项\n\n1. **在此声明，未经授权不要拿去做违法事情，若出任何事情与本人无关。**\n2. 大部分代码已经开源，但模板只给了一个APC注入的模板，以供学习参考，后续会逐个开源。\n3. 可以根据已有的模板和原作者的项目进行拓展开发。\n","project_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fwangfly-me%2FLoaderFly","html_url":"https://awesome.ecosyste.ms/projects/github.com%2Fwangfly-me%2FLoaderFly","lists_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fwangfly-me%2FLoaderFly/lists"}