文章总结: Beatrice.py是一款专为渗透测试和红队对抗设计的轻量级Python二进制混淆工具,通过等价指令替换改变x64机器码特征,有效绕过YARA规则和WindowsDefender等静态查杀。工具支持EXE、BIN、Shellcode格式,采用等长替换确保程序稳定性,同时提供安全模式避免损坏PE结构。作者强调需在授权测试场景使用,并提醒无法规避行为检测。 综合评分: 88 文章分类: 渗透测试,红队,免杀,安全工具,二进制安全
免杀神器|Beatrice.py:轻量级二进制混淆工具,稳定绕过静态查杀
NaNaBot NaNaBot
0x33 SEC
2026年4月21日 10:52 日本
在小说阅读器读本章
去阅读
免杀神器|Beatrice.py:轻量级二进制混淆工具,稳定绕过静态查杀
工具介绍
Beatrice.py 是一款轻量 Python 二进制混淆工具,专为渗透测试、红队对抗设计,核心解决Payload 一上传就被杀、手动改汇编易崩溃的痛点。 它通过等价指令替换,在不改变程序功能、不破坏结构的前提下,修改二进制特征码,绕开 YARA 规则、Windows Defender 等静态查杀,相当于给二进制文件 “换脸不换心”。 工具支持 EXE、BIN、Shellcode 等常见格式,采用等长机器码替换,自带安全模式,几乎不会导致程序崩溃,且不修改字符串、导入表,避免新增可疑特征。
工具解决什么问题?
Beatrice.py 针对的是:在不大改程序逻辑的前提下,换掉 x64 机器码里「同长度、不同编码」的指令,让静态规则更难命中,同时通过严格匹配降低把数据区当代码改坏的风险。
核心能力
- 指令级替换:用功能相近、字节不同的 x64 指令编码替换原机器码,改变「指纹」。
- 复杂指令也有规则:带立即数等情况会按规则处理,尽量保持补丁同尺寸,减少对 PE 等结构的破坏。
- 保守模式:
-s(Safer mode)在改不动或易损坏时更谨慎。 - 边界清晰:不改字符串、导入与 API 调用特征;无法替代行为检测与组合防御;适合与 loader、shellcode 处理等配合。
演示动图
使用示例(简化)
python3 beatrice.py <binary>
# -h 查看参数
# -v 详细输出
# -s 更安全、更保守的替换策略
项目地址:https://github.com/raskolnikov90/Beatrice.py
免责声明:
本工具仅供已授权的渗透测试、安全审计及网络安全教育研究使用。
严禁将此工具用于任何未授权的攻击活动或非法用途。使用者应遵守当地相关法律法规,开发者对因不当使用造成的任何直接或间接后果不承担任何法律责任。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:0x33 SEC NaNaBot NaNaBot《免杀神器|Beatrice.py:轻量级二进制混淆工具,稳定绕过静态查杀》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论