文章总结： 本文介绍红队加载器LoaderV6.4的更新内容，新增fluctuation模式支持OLLVM混淆，通过内存加解密规避检测。详细解析5种加载方法：codasm极简编码、codasmsw4系统调用、codasmveh异常处理、lua绕过云检测、fluctuation内存波动。强调工具仅限合法授权测试使用，需遵守网络安全法。 综合评分： 68 文章分类： 红队,恶意软件,免杀,安全工具,渗透测试

[更新]红队加载器LoaderV6.4

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年5月24日 23:41 江苏

在小说阅读器读本章

去阅读

这是一个具有高级规避功能的有效载荷加载器。

一、新增内容

本版本进行了更新，包括新增对fluctuation（内存波动）模式的OLLVM混淆支持，界面调整及细节优化。

fluctuation模式开启混淆

使用此方法时，将对有特征的shellcode从加载器层面对内存进行规避，需具备休眠机制，休眠时间建议超过一分钟。

方法演示

其它方法介绍

1.codasm：使用CODASM编码，极简代码，支持OLLVM混淆。

2.codasm_sw4: 使用CODASM编码 + SysWhispers4系统调用，支持当前进程/远程APC/线程劫持，后两种模式将使用系统Notepad进程上线，绕过程序联网控制机制。

3.codasm_veh: 使用CODASM编码 + VEH 执行，支持OLLVM混淆。

4.lua: 专用于绕过基于云的黑白名单检测机制，3文件，通常使用高级LNK快捷方式释放执行。

5.fluctuation: 远程加载shellcode并对内存处理，在beacon休眠（Sleep）前后将自动进行加解密，选择此模式时将绕过内存扫描，支持OLLVM混淆。使用完全无法检测的Cobalt Strike方案时无需使用此方法。

该项目是顶级武器-完全无法检测的cobalt strike项目的附加内容，用户可至工具菜单【更新】下载新版。

如果你对这些红队项目感兴趣或想了解更多信息，可查阅我的产品清单《2026年度红队战术攻防武器库产品手册》[1]及协议《合规协议》[2]。

二、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

相关内容

• • [更新]红队加载器LoaderV6.3

引用链接

[1] 《2026年度红队战术攻防武器库产品手册》: https://www.kdocs.cn/l/coR1BuQkseWz [2] 《合规协议》: https://www.kdocs.cn/l/cqPic7iLh0hn

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《[更新]红队加载器LoaderV6.4》