红队有效载荷加载器

本项目为直播讲解时演示特征的资源加载器，简单易学，现提供给新手学习。

一、特点

• visual studio编译
• 有效载荷(bin)隐藏在资源区
• 一个函数，外加10行代码
• 支持4种加载方式：
• 直接加载
• 加密解密加载
• 系统调用直接加载
• 系统调用加密解密加载

有效载荷：指的是导出的bin文件，99%的C2均支持导出bin格式。

二、使用方法

1. 直接加载：将bin放入项目文件夹中直接编译
2. 加密解密加载：将bin放入项目文件夹中，使用如下命令加密bin，将resources.rc文件中启用encrypted.bin并注释payload_x64.bin，启用//有效载荷加密演示区，注释其他部分，编译
3. 系统调用直接加载：同直接加载，启用//系统调用未加密演示，注释其他部分，编译
4. 系统调用加密解密加载：同加密解密加载，启用//系统调用加密演示，注释其他部分，编译

python xorencrypt2.py

相关视频

https://www.bilibili.com/video/BV15QLizEELo/?vd_source=589e6f3e4851fdcdcf59d8190e68ae7b

三、总结

一套完整的项目由平台(C2)、加载器(Loader)、途径三部分构成：

• 平台指的是运行在服务器上的C2，决定了有效载荷是否能绕过特征检测机制（如静态特征，内存特征）并与服务器通信。
• 加载器指的是运行在终端上的程序（通常为白加黑或单可执行文件），加载器用于加载我们的C2有效载荷（payload）至内存。决定了是否能隐蔽运行有效载荷。
• 途径指的是通过某一种技术投递（如lnk快捷方式），通常是社会工程学。

本文主要介绍了加载器部分，并给出了一个示例加载器。后面我们将介绍如何进行混淆，以防止代码被标记。平台及途径部分均在先前文章中有介绍。

免杀的核心在于有效载荷(bin)，而不在于加载器。该加载器相关文章10行代码即可免杀全球绝大多数杀毒软件。

如需该加载器，可回复20250511获取

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• 仅可用于已获得书面授权的目标系统测试；
• 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• 10行代码即可免杀全球绝大多数杀毒软件
• Cobaltstrike4.9.1平台高级匿名技术手册
• Cobaltstrike4.9.1平台基础部署手册
• 还在用bof截图？现在不需要了
• 全网唯一，高级LNK快捷方式新技术发布
• 来看下泳池派对还能绕过多少杀毒软件
• 高级lnk快捷方式武器化
• 顶级武器-完全无法检测的cobalt strike