文章总结： 本文介绍红队加载器LoaderV6.3的更新内容，新增对C#项目的后渗透处理能力，支持独立运行并绕过AMSI检测。详细说明了codasm、syswhispers4、VEH异常处理等多种规避技术，提供当前防御环境的检测情况。文档强调仅限合法授权使用，包含免责声明。 综合评分： 68 文章分类： 红队,免杀,恶意软件,安全工具,渗透测试

[更新]红队加载器LoaderV6.3

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年5月6日 00:44 江苏

在小说阅读器读本章

去阅读

[更新]红队加载器LoaderV6.3

这是一个具有高级规避功能的有效载荷加载器。

一、新增内容

本版本进行了大量更新，包括新增对C#项目100多个C#工具怎么用？先学会这招绕过AMSI的后渗透处理，支持在不使用BOF时的场景，使C#项目能够独立运行。同时对多处细节进行了优化。

常用的C#工具通常被标记（如Seatbelt，Rubeus），使用此方法处理后将规避这一点。

AMSI绕过

使用此选项时，将对指定的C#程序进行一系列自动化处理，处理后的程序将完全绕过AMSI。

方法演示

其它方法介绍

1.codasm：使用CODASM编码，整个代码仅5行，支持OLLVM混淆。

2.codasm_sw4: 使用CODASM编码 + SysWhispers4系统调用，支持当前进程/远程APC/线程劫持，后两种模式将使用系统notepad进程上线，绕过程序联网控制机制。

3.codasm_veh: 使用CODASM编码 + VEH异常处理执行，支持OLLVM混淆。

4.lua: 专用于绕过基于黑白名单的云检测机制，通常使用高级LNK释放执行。

5.fluctuation: 远程分离加载并对内存处理，载荷在程序休眠（Sleep）前后将自动进行加解密，选择此模式时将专门绕过内存扫描；在使用完全无法检测的有效载荷时无需使用此方法。

二、技术细节

1. 无补丁绕过AMSI

先前我介绍了Windows安全的发展史红队攻防的十年：这些经验让你少走弯路，常规的C#工具会受到AMSI的监控，通常我们会使用BOF进行AMSI修补，但目前仅高级C2支持BOF，部分情况下可能需要独立运行，这时候需要直接处理C#程序。

本方法既不使用AMSI修补方法，也不使用硬件断点，经过一系列复杂处理后的PE将完全绕过AMSI。

三、检测情况

日期：2026年5月6日 AMSI：文件实时监控-高级选项-开启AMSI扫描

Defender

其它集成AMSI的环境

该项目是顶级武器-完全无法检测的cobalt strike项目的附加内容，可至工具菜单【更新】下载新版本。

如果你对这些红队项目感兴趣或想了解更多信息，可查阅我的产品清单《2026年度红队战术攻防武器库产品手册》[1]及协议《合规协议》[2]。

网络安全 #红队训练

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

相关内容

• • 100多个C#工具怎么用？先学会这招绕过AMSI
• • 红队攻防的十年：这些经验让你少走弯路

引用链接

[1] 《2026年度红队战术攻防武器库产品手册》: https://www.kdocs.cn/l/coR1BuQkseWz [2] 《合规协议》: https://www.kdocs.cn/l/cqPic7iLh0hn

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《[更新]红队加载器LoaderV6.3》