AdaptixC2 武器化二次开发实战教程<\/h1>

概述<\/h2>
本文档详细解析了对开源C2框架 AdaptixC2<\/strong> 进行两项关键技术改造的过程：1. 客户端界面国际化（汉化）<\/strong> 和 2. Beacon Loader 的实战化武器改造以提升抗AV\/EDR能力<\/strong>。教程基于对源代码的修改，旨在提供深入、可操作的技术指南。<\/p>

第一部分：基于 Qt LinguistTools 的客户端汉化<\/h2>
一、目标与准备工作<\/h3>

目标<\/strong>：为 AdaptixC2 客户端 (AdaptixClient) 增加多语言支持（以中文为例），实现界面文本的本地化显示。<\/li>
环境与前提<\/strong>：

IDE<\/strong>: Qt Creator 17.0.1 (Community)<\/li>
源码<\/strong>: 自备 AdaptixC2 Server 与 Agent (Client) 的源代码<\/li>
Qt 组件<\/strong>: 确保已安装 LinguistTools<\/code> 组件。<\/li> <\/ul> <\/li> <\/ul> 二、项目实施步骤<\/h3> 1. 修改项目配置文件 (CMakeLists.txt<\/code>)<\/h4> 在 find_package<\/code> 部分添加 LinguistTools<\/code> 组件依赖。 find_package(Qt6<\/span> REQUIRED<\/span> COMPONENTS<\/span> <\/span><\/span> Core<\/span> <\/span><\/span> Gui<\/span> <\/span><\/span> Widgets<\/span> <\/span><\/span> Network<\/span> <\/span><\/span> WebSockets<\/span> <\/span><\/span> Sql<\/span> <\/span><\/span> Qml<\/span> <\/span><\/span> LinguistTools<\/span> # 新增：翻译工具支持 <\/span><\/span><\/span><\/span>) <\/span><\/span><\/span><\/code><\/pre><\/li> 在文件末尾添加翻译文件设置，并将其编译进Qt资源系统中。 # 国际化多语言支持 <\/span><\/span><\/span><\/span>set(TS_FILES<\/span> translations\/adaptix_zh_CN.ts<\/span>) <\/span><\/span><\/span><\/span># 使用Qt6的标准翻译功能将qm编译进资源中 <\/span><\/span><\/span><\/span>qt6_add_translations(AdaptixClient<\/span> <\/span><\/span> TS_FILES<\/span> ${<\/span>TS_FILES}<\/span> <\/span><\/span> RESOURCE_PREFIX<\/span> "\/translations"<\/span> <\/span><\/span>) <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. 修改主程序入口 (main.cpp<\/code>)<\/h4> 添加必要的头文件。 #include<\/span> <QTranslator><\/span> <\/span><\/span><\/span>#include<\/span> <QLocale><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 在 QApplication<\/code> 对象创建后、主窗口显示前，安装翻译器。此代码会根据系统语言环境自动加载对应的 .qm<\/code> 文件。 int<\/span> main<\/span>(int<\/span> argc, char<\/span> *<\/span>argv[]) { <\/span><\/span> QApplication a(argc, argv); <\/span><\/span> <\/span><\/span> \/\/ --- 添加国际化支持 --- <\/span><\/span><\/span><\/span> static<\/span> QTranslator translator; \/\/ 保证 translator 不会在 main() 结束后被销毁 <\/span><\/span><\/span><\/span> \/\/ 获取当前系统的语言环境，例如 "zh_CN" <\/span><\/span><\/span><\/span> QString locale =<\/span> QLocale::<\/span>system().name(); <\/span><\/span> \/\/ 资源路径 <\/span><\/span><\/span><\/span> QString translationFile =<\/span> QString(":\/translations\/adaptix_%1.qm"<\/span>).arg(locale); <\/span><\/span> if<\/span> (translator.load(translationFile)) { <\/span><\/span> a.installTranslator(&<\/span>translator); <\/span><\/span> } <\/span><\/span> \/\/ --- 结束 --- <\/span><\/span><\/span><\/span> <\/span><\/span> MainAdaptix w; <\/span><\/span> w.show(); <\/span><\/span> return<\/span> a.exec(); <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 处理源代码中的字符串<\/h4> 核心规则<\/strong>：将所有需要翻译的固定界面文本<\/strong>用 tr()<\/code> 函数包裹。<\/li> 示例<\/strong> (DialogConnect.cpp<\/code>): \/\/ 原代码 <\/span><\/span><\/span><\/span>this<\/span>-><\/span>setWindowTitle("Connect"<\/span>); <\/span><\/span>label_User-><\/span>setText("User:"<\/span>); <\/span><\/span> <\/span><\/span>\/\/ 修改后 <\/span><\/span><\/span><\/span>this<\/span>-><\/span>setWindowTitle(tr("Connect"<\/span>)); <\/span><\/span>label_User-><\/span>setText(tr("User:"<\/span>)); <\/span><\/span><\/code><\/pre><\/li> 关键问题修复<\/strong>：某些自定义 Widget 类因缺少 Q_OBJECT<\/code> 宏而无法使用 tr()<\/code>。解决方案<\/strong>：在类声明中添加 Q_OBJECT<\/code> 宏。<\/li> 修改文件<\/strong>：AxConsoleWidget.h<\/code>, ConsoleWidget.h<\/code> 等。<\/li> <\/ul> class<\/span> MyWidget<\/span> :<\/span> public<\/span> QWidget { <\/span><\/span> Q_OBJECT \/\/ 必须添加此行 <\/span><\/span><\/span><\/span> \/\/ ... 其他成员 ... <\/span><\/span><\/span><\/span>}; <\/span><\/span><\/code><\/pre><\/li> <\/ul> 4. 生成与处理翻译文件 (.ts)<\/h4> 生成 TS 文件<\/strong>：在项目根目录打开终端，使用 lupdate<\/code> 工具扫描源代码并生成或更新 .ts<\/code> 文件。<\/p> lupdate -no-obsolete -locations relative Source\/ Headers\/ -ts translations\/adaptix_zh_CN.ts <\/span><\/span><\/code><\/pre> 成功后提示找到若干可翻译字符串。<\/li> <\/ul> <\/li> 翻译字符串<\/strong>：<\/p> 使用 Qt Linguist<\/strong> 工具打开 adaptix_zh_CN.ts<\/code> 文件。<\/li> 在界面中逐条填写源文本（英文）对应的翻译（中文）。<\/li> 校对后保存。<\/li> <\/ul> <\/li> 发布翻译<\/strong>：在 Qt Linguist 中点击“发布”按钮，或使用 lrelease<\/code> 命令将 .ts<\/code> 文件编译为二进制的 .qm<\/code> 文件。<\/p> lrelease translations\/adaptix_zh_CN.ts <\/span><\/span><\/code><\/pre> 生成的 adaptix_zh_CN.qm<\/code> 文件会根据 CMakeLists.txt<\/code> 的配置自动嵌入到程序资源中。<\/li> <\/ul> <\/li> <\/ol> 5. 编译与测试<\/h4> 在 Qt Creator 中重新构建<\/strong>整个项目 (Build -> Build All)。<\/li> 运行编译后的程序，客户端界面应已根据系统语言显示为中文。<\/li> <\/ul> 6. 注意事项与局限性<\/h4> 扩展命令<\/strong>：由服务端 ax_config.axs<\/code> 文件或第三方扩展定义的命令\/功能名称，其文本通常未在客户端代码中，因此无法通过此方法汉化。文中采用了对 ax_config.axs<\/code> 进行硬编码修改<\/strong>的取巧方法。<\/li> 动态切换<\/strong>：本教程实现的是启动时根据系统语言确定界面语言<\/strong>。如需在运行时动态切换，需实现 changeEvent<\/code> 事件监听和 retranslateUi<\/code> 函数，更为复杂。<\/li> <\/ul> 第二部分：Beacon Loader 的实战化武器改造<\/h2> 一、目标与思路<\/h3> 目标<\/strong>：增强原版 AdaptixC2 Beacon 的免杀能力，使其能绕过主流杀毒软件 (AV) 和终端检测响应 (EDR) 的检测，满足实战需求。<\/li> 核心思路<\/strong>：分离执行流程，采用多阶段加载<\/strong>和隐蔽持久化<\/strong>技术。 Loader（加载器）<\/strong>：一个高度免杀的初始程序，负责解密、加载并执行核心DLL。<\/li> DLL（核心模块）<\/strong>：包含实际的Shellcode加载和执行逻辑。<\/li> Shellcode<\/strong>：从AdaptixC2生成的加密的 agent.x64.bin<\/code>。<\/li> <\/ol> <\/li> <\/ul> 二、技术实现细节<\/h3> 1. Shellcode 预处理<\/h4> 原始 agent.x64.bin<\/code> 文件极易被检测。需先进行加密\/编码。<\/li> 方法<\/strong>：使用简单的 XOR 异或加密<\/strong>，并可转换为 Base64 编码字符串方便存储。<\/li> 操作<\/strong>：编写一个Python脚本（或其他语言）对 agent.x64.bin<\/code> 进行加密，然后将加密后的 payload 部署到远程服务器（如云存储、GitHub Gist等）或嵌入到Loader中。<\/li> <\/ul> 2. Loader（加载器）设计 - C# (.NET)<\/h4> Loader 承担核心的免杀和持久化职责。<\/p> 功能 1: 内存加载 .NET DLL<\/strong><\/p> 技术<\/strong>：使用 Assembly.Load()<\/code> 直接从内存字节数组加载DLL，避免DLL文件落地。<\/li> 流程<\/strong>：Loader 自身包含加密的DLL数据 -> 在内存中解密 -> 调用 Assembly.Load(decryptedBytes)<\/code> -> 通过反射调用DLL的入口方法。<\/li> <\/ul> <\/li> 功能 2: 反分析技术<\/strong><\/p> 反虚拟机 (Anti-VM)<\/strong>：检查常见虚拟机特征（如特定进程、硬件信息、注册表项）。<\/li> 反调试 (Anti-Debug)<\/strong>：检查调试器是否存在（如 IsDebuggerPresent<\/code>, 检查运行时间）。<\/li> 反沙箱 (Anti-Sandbox)<\/strong>：检查系统运行时间、内存大小、CPU核心数等，排除短时运行的沙箱环境。<\/li> <\/ul> <\/li> 功能 3: 持久化驻留机制 - WMI 事件订阅<\/strong><\/p> 优势<\/strong>：高级、隐蔽、系统级权限，难以发现和清除。<\/li> 核心组件<\/strong>： __EventFilter<\/strong>: 定义触发条件。例如：SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name='explorer.exe'<\/code> 或更常见的系统启动后一段时间触发<\/strong>：SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Second = 0 AND TargetInstance.Minute = 0 AND TargetInstance.Hour = 0<\/code> (每天午夜) 或使用系统运行时间<\/strong>：SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_OperatingSystem' AND TargetInstance.SystemUpTime >= 300 AND TargetInstance.SystemUpTime < 360<\/code> (系统启动后5-6分钟)。<\/li> ActiveScriptEventConsumer<\/strong>: 执行动作。使用VBScript\/JScript执行命令，无需落地exe文件。命令为：forfiles \/p %APPDATA% \/m <Loader_Name> \/c "<Loader_Full_Path>"<\/code>。利用 forfiles.exe<\/code><\/strong>：这是一个合法的、有微软签名的系统程序。用它来启动Loader，可以破坏进程父子关系<\/strong>，使检测引擎难以关联恶意行为与持久化源，提升迷惑性。<\/li> <\/ul> <\/li> __FilterToConsumerBinding<\/strong>: 将上述过滤器和消费者绑定起来。<\/li> <\/ol> <\/li> 流程<\/strong>：Loader 首次运行时，以高权限创建上述三个WMI实例，实现持久化。随后可将自身复制到 %APPDATA%<\/code> 等隐蔽目录，并删除原始文件。<\/li> <\/ul> <\/li> <\/ul> 3. DLL（核心模块）设计 - C\/C++<\/h4> DLL 负责最终执行Shellcode。<\/p> 功能 1: 加载远程Shellcode<\/strong><\/p> 从预设的URL下载加密的（Base64+XOR）Shellcode。<\/li> 在内存中进行解密，得到原始的 agent.x64.bin<\/code> 数据。<\/li> <\/ul> <\/li> 功能 2: 进程注入<\/strong><\/p> 技术<\/strong>：共享内存区注入 (Section Injection)<\/strong> 或进程镂空 (Process Hollowing)<\/strong>。<\/li> 目标进程<\/strong>：寄生到 explorer.exe<\/code> 等合法、常见的系统进程中，以掩盖恶意行为。<\/li> 流程<\/strong>：创建目标进程（或打开现有进程），并将其挂起。<\/li> 在目标进程内存中分配空间，写入解密后的Shellcode。<\/li> 通过设置进程上下文、调用 CreateRemoteThread<\/code> 或 QueueUserAPC<\/code> 等方式，在目标进程中执行Shellcode。<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ul> 三、武器化流程与检测规避<\/h3> 生成Payload<\/strong>：在AdaptixC2中创建HTTPS监听器，生成 Shellcode<\/strong> 类型的Payload (agent.x64.bin<\/code>)。<\/li> 加密Payload<\/strong>：使用提供的Python脚本加密 agent.x64.bin<\/code>，并上传到远程服务器。<\/li> 编译Loader&DLL<\/strong>：分别编译Loader(C#)和DLL(C++)项目。将加密后的DLL数据以字节数组形式嵌入到Loader代码中。<\/li> 分发<\/strong>：将最终的Loader可执行文件进行伪装（如：伪装成PDF文档的图标，实际为exe；或与诱饵文档捆绑）。<\/li> 执行链<\/strong>：受害者运行Loader。<\/li> Loader 进行反分析检查，通过后则在内存加载DLL。<\/li> DLL 从远程服务器下载加密Shellcode，解密后注入到 explorer.exe<\/code> 进程。<\/li> Beacon 在 explorer.exe<\/code> 中上线。<\/li> Loader 设置WMI持久化后自我删除并隐藏副本。<\/li> <\/ul> <\/li> <\/ol> 四、注意事项<\/h3> 时效性<\/strong>：所有免杀技术都有时效性，需根据目标环境持续研究和迭代。<\/li> Go环境问题<\/strong>：编译原版AdaptixC2时，若遇到生成Go Agent失败，通常是网络问题（无法下载Go依赖）或Go环境配置错误。需为服务器配置可靠的网络代理或国内镜像源，并检查Go环境完整性。<\/li> 责任性<\/strong>：本文档仅用于安全技术研究和学习，请勿用于非法用途。<\/li> <\/ul> 总结<\/h2> 本教程详细介绍了对AdaptixC2进行二次开发的两个核心方向：<\/p> 国际化<\/strong>：通过修改源码、使用Qt国际化框架，实现了客户端的本地化，提升了操作体验。<\/li> 武器化<\/strong>：通过多阶段加载、内存操作、反分析技术和隐蔽的WMI持久化等高级技术，显著提升了Beacon的隐蔽性和生存能力，使其更适用于对抗性环境。<\/li> <\/ol> 这些改造充分体现了APT攻击中“代码开发”和“战术技巧”相结合的特点，为红队人员提供了深入的技术参考。<\/p>

AdaptixC2 武器化二次开发实战教程<\/h1>

二、 项目实施步骤<\/h3>

第二部分：Beacon Loader 的实战化武器改造<\/h2>

二、 技术实现细节<\/h3>

二、项目实施步骤<\/h3>

二、技术实现细节<\/h3>