免杀Packer框架开发教学文档<\/h1>

1. 框架概述<\/h2>
本免杀Packer框架是一个用于Shellcode免杀的工具，通过模块化设计实现了多种免杀技术组合。框架采用C++和Python混合开发，其中核心功能使用C++实现，GUI和部分Shellcode处理使用Python(PyQt)实现。<\/p>

2. 框架架构<\/h2>

2.1 核心模块划分<\/h3>

Shellcode处理模块<\/strong>：负责Shellcode的加载和处理<\/li>
内存分配模块<\/strong>：负责分配具有特定属性的内存<\/li>
执行方式模块<\/strong>：提供多种执行Shellcode的方法<\/li>
杂项模块<\/strong>：包含反调试、反虚拟化等辅助功能<\/li>
配置与控制模块<\/strong>：管理全局变量和配置项<\/li>

GUI模块<\/strong>：提供用户界面(Python实现)<\/li> <\/ol>
2.2 关键数据结构<\/h3>
在struct.h<\/code>中定义的核心结构：<\/p>
\/\/ Shellcode信息结构 <\/span><\/span><\/span><\/span>typedef<\/span> struct<\/span> _SHELLCODE_INFO<\/span> { <\/span><\/span> LPVOID address; \/\/ Shellcode地址 <\/span><\/span><\/span><\/span> SIZE_T length; \/\/ Shellcode长度 <\/span><\/span><\/span><\/span>} SHELLCODE_INFO, *<\/span>PSHELLCODE_INFO; <\/span><\/span> <\/span><\/span>\/\/ 执行方式枚举 <\/span><\/span><\/span><\/span>typedef<\/span> enum<\/span> _EXECUTION_METHOD<\/span> { <\/span><\/span> METHOD_CREATETHREAD, <\/span><\/span> METHOD_QUEUEUSERAPC, <\/span><\/span> METHOD_FAKEEXCEPTION, <\/span><\/span> \/\/ 可扩展其他方法... <\/span><\/span><\/span><\/span>} EXECUTION_METHOD; <\/span><\/span><\/code><\/pre>3. Shellcode处理模块<\/h2> 3.1 Shellcode加载方式<\/h3> 直接嵌入<\/strong>：将Shellcode硬编码在.data段<\/li> 分离加载<\/strong>：使用LSB隐写技术将Shellcode隐藏在图片中<\/li> 远程拉取<\/strong>：(待实现)从远程服务器获取Shellcode<\/li> <\/ol> 3.2 加密方法<\/h3> XOR加密<\/strong>：简单的异或加密<\/li> RC4加密<\/strong>：流加密算法<\/li> AES加密<\/strong>：高级加密标准<\/li> <\/ol> 3.3 SGN处理<\/h3> 使用Python实现Shellcode的SGN(Shikata Ga Nai)编码处理，增加免杀效果。<\/p> 4. 内存分配模块<\/h2> 提供三种内存分配策略：<\/p> Private属性内存<\/strong>：使用NtAllocateVirtualMemory<\/code>分配<\/p> 代码结构：NtAllocateVirtualMemoryStruct<\/code><\/li> 特点：分配具有RW(读写)权限的私有内存<\/li> <\/ul> <\/li> Mapped属性内存<\/strong>：使用NtMapViewOfSection<\/code>分配<\/p> 代码结构：NtMapViewOfSection<\/code><\/li> 特点：创建内存映射区域<\/li> <\/ul> <\/li> Image属性内存<\/strong>：使用Module Stomping技术<\/p> 代码结构：ModuleStomping<\/code><\/li> 特点：适合小型Shellcode，利用现有模块内存空间<\/li> <\/ul> <\/li> <\/ol> 5. 执行方式模块<\/h2> 5.1 执行流程<\/h3> 通过ExecuteShellcode<\/code>函数统一调度：<\/p> BOOL ExecuteShellcode<\/span>(PSHELLCODE_INFO pShellcodeInfo, EXECUTION_METHOD method) { <\/span><\/span> switch<\/span> (method) { <\/span><\/span> case<\/span> METHOD_CREATETHREAD: <\/span><\/span> return<\/span> CreateThreadExecution(pShellcodeInfo); <\/span><\/span> case<\/span> METHOD_QUEUEUSERAPC: <\/span><\/span> return<\/span> QueueUserAPCExecution(pShellcodeInfo); <\/span><\/span> case<\/span> METHOD_FAKEEXCEPTION: <\/span><\/span> return<\/span> FakeExceptionExecution(pShellcodeInfo); <\/span><\/span> \/\/ 可扩展其他执行方法... <\/span><\/span><\/span><\/span> default<\/span>:<\/span> <\/span><\/span> return<\/span> FALSE; <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>5.2 DynamicInvoker类<\/h3> 关键动态调用封装类，支持两种调用方式：<\/p> Syscall调用<\/strong>：直接系统调用<\/p> 基于开源项目PigSyscall<\/a><\/li> 需要获取SSN(System Service Number)<\/li> <\/ul> <\/li> NT函数动态调用<\/strong>：通过动态获取NTDLL函数地址调用<\/p> <\/li> <\/ol> 示例(NtProtectVirtualMemory调用)：<\/p> NTSTATUS status =<\/span> DynamicInvoker::<\/span>Invoke<<\/span>NTSTATUS><\/span>( <\/span><\/span> NtProtectVirtualMemoryAddress, <\/span><\/span> NtProtectVirtualMemoryHash, <\/span><\/span> processHandle, <\/span><\/span> &<\/span>baseAddress, <\/span><\/span> &<\/span>size, <\/span><\/span> newProtect, <\/span><\/span> &<\/span>oldProtect <\/span><\/span>); <\/span><\/span><\/code><\/pre>注意<\/strong>：Syscall实现需要防止多次解密导致的执行失败。<\/p> 6. 杂项模块<\/h2> 6.1 Defender专项对抗<\/h3> 基于UACME<\/a>项目的windefend.c<\/code>实现，将所有Windows API替换为动态调用。<\/p> 6.2 反沙箱技术<\/h3> 编译时加密关键字符串<\/li> 环境检测(虚拟机、沙箱)<\/li> 行为混淆<\/li> <\/ol> 6.3 反调试技术<\/h3> 检测调试器存在<\/li> 时间差检测<\/li> 异常处理检测<\/li> <\/ol> 7. 配置与控制模块<\/h2> 7.1 config.h<\/h3> 全局配置文件，主要配置项：<\/p> \/\/ 执行方式配置 <\/span><\/span><\/span><\/span>EXECUTION_METHOD g_executionMethod =<\/span> METHOD_CREATETHREAD; <\/span><\/span> <\/span><\/span>\/\/ Syscall配置 <\/span><\/span><\/span><\/span>BOOL g_isSyscall =<\/span> TRUE; <\/span><\/span> <\/span><\/span>\/\/ 加密配置 <\/span><\/span><\/span><\/span>ENCRYPTION_METHOD g_encryptionMethod =<\/span> ENCRYPTION_XOR; <\/span><\/span> <\/span><\/span>\/\/ 内存分配配置 <\/span><\/span><\/span><\/span>MEMORY_ALLOCATION_METHOD g_memoryMethod =<\/span> MEMORY_PRIVATE; <\/span><\/span><\/code><\/pre>7.2 Python模板替换<\/h3> Python脚本通过模板替换方式生成最终配置，提高灵活性。<\/p> 8. GUI模块<\/h2> 使用PyQt实现的图形界面，主要功能：<\/p> Shellcode加载与处理<\/li> 执行方式选择<\/li> 加密方式配置<\/li> 内存分配策略选择<\/li> 反检测功能开关<\/li> <\/ol> 9. 开发注意事项<\/h2> 内存管理<\/strong>：确保正确释放分配的内存<\/li> 错误处理<\/strong>：所有系统调用都需要检查返回值<\/li> 兼容性<\/strong>：考虑不同Windows版本的差异<\/li> 免杀维护<\/strong>：定期更新加密和混淆方法<\/li> 模块化<\/strong>：保持各模块独立性便于扩展<\/li> <\/ol> 10. 测试效果<\/h2> 使用计算器(calc)的Shellcode测试，静态检测绕过效果良好。动态行为需结合反沙箱技术进一步增强。<\/p> 11. 扩展建议<\/h2> 增加更多Shellcode加载方式(如DNS隧道)<\/li> 实现更多加密算法(如TEA、Blowfish)<\/li> 添加进程注入技术(如Process Hollowing)<\/li> 集成更多反检测技术<\/li> 优化Python与C++的交互效率<\/li> <\/ol> 12. 参考资源<\/h2> PigSyscall项目: https:\/\/github.com\/evilashz\/PigSyscall<\/li> UACME项目: https:\/\/github.com\/hfiref0x\/UACME<\/li> Shellcode编码技术: SGN(Shikata Ga Nai)<\/li> Windows系统调用文档<\/li> <\/ol>

免杀Packer框架开发教学文档<\/h1>

1. 框架概述<\/h2> 本免杀Packer框架是一个用于Shellcode免杀的工具，通过模块化设计实现了多种免杀技术组合。框架采用C++和Python混合开发，其中核心功能使用C++实现，GUI和部分Shellcode处理使用Python(PyQt)实现。<\/p>

2. 框架架构<\/h2>

3. Shellcode处理模块<\/h2>

3.3 SGN处理<\/h3> 使用Python实现Shellcode的SGN(Shikata Ga Nai)编码处理，增加免杀效果。<\/p>

5. 执行方式模块<\/h2>

6.1 Defender专项对抗<\/h3> 基于UACME<\/a>项目的windefend.c<\/code>实现，将所有Windows API替换为动态调用。<\/p>

7. 配置与控制模块<\/h2>

7.2 Python模板替换<\/h3> Python脚本通过模板替换方式生成最终配置，提高灵活性。<\/p>

10. 测试效果<\/h2> 使用计算器(calc)的Shellcode测试，静态检测绕过效果良好。动态行为需结合反沙箱技术进一步增强。<\/p>

12. 参考资源<\/h2> PigSyscall项目: https:\/\/github.com\/evilashz\/PigSyscall<\/li> UACME项目: https:\/\/github.com\/hfiref0x\/UACME<\/li> Shellcode编码技术: SGN(Shikata Ga Nai)<\/li> Windows系统调用文档<\/li> <\/ol>

1. 框架概述<\/h2>
本免杀Packer框架是一个用于Shellcode免杀的工具，通过模块化设计实现了多种免杀技术组合。框架采用C++和Python混合开发，其中核心功能使用C++实现，GUI和部分Shellcode处理使用Python(PyQt)实现。<\/p>

3.3 SGN处理<\/h3>
使用Python实现Shellcode的SGN(Shikata Ga Nai)编码处理，增加免杀效果。<\/p>

6.1 Defender专项对抗<\/h3>
基于 UACME<\/a>项目的`windefend.c<\/code>实现，将所有Windows API替换为动态调用。<\/p>`

7.2 Python模板替换<\/h3>
Python脚本通过模板替换方式生成最终配置，提高灵活性。<\/p>

10. 测试效果<\/h2>
使用计算器(calc)的Shellcode测试，静态检测绕过效果良好。动态行为需结合反沙箱技术进一步增强。<\/p>

12. 参考资源<\/h2>

PigSyscall项目: https:\/\/github.com\/evilashz\/PigSyscall<\/li>
UACME项目: https:\/\/github.com\/hfiref0x\/UACME<\/li>
Shellcode编码技术: SGN(Shikata Ga Nai)<\/li>
Windows系统调用文档<\/li> <\/ol>