工具项目
BurpSuite明动插件
资产安全巡检平台项目
Nuclei漏扫图形化工具
Nuclei POC辅助编写
分布式资产测绘监控
POC漏检模板管理工具
POC管理与漏检工具
Java幽灵比特位绕过神器
一键扒光虚拟机所有密码
Java内存马生成网页版
263+上传漏检绕过工具
ID注册查询社工利器
Linux后渗透利用神器
全能攻防协议连接神器
聚合多源情报推送监控
应用敏感信息提取神器
分布式资产扫描平台
交互式载荷生成平台
Java审计的瑞士军刀
容器镜像集群扫描器
渗透命令全速查平台
AI驱动日志安全分析系统
AI流量抓包解密利器
BurpSuite26.4专业稳定版
小程序一键反编译带挖掘
渗透测试引导工具箱
一键提取加载分析JS插件
DLL代理与侧载生成器
K8s攻击路径测绘引擎
JS安全分析提取工具
蓝队分析研判工具箱
内存取证可视化工具
小程序安全调试工具
敏感信息提取扫描神器
云安全AK/SK泄露利用工具
Java反序列化GUI工具
HackingTool终端工具箱
可视化未授权访问漏测工具
轻量化红队渗透工具箱
WX小程序安全审计Skill
C#安全内网渗透工具集
JS只能解密渗透测试框架
Linux本地提权通杀项目
自动化信息泄露侦察工具
用户账户调查情报工具
基于API探测路径BP插件
红队自动化巡航扫描框架
OpenArk响应逆向工具箱
自动化泄露资产测绘工具
API接口自动化测试工具
网络设备基线排查工具
LLM大模型红队测试框架
JX逆向发调试浏览器插件
反蜜罐反溯源浏览器插件
DudeSuite渗透测试工具
Yakit增加AI自动FUZZ
安全渗透测试工具箱
Linux本地提权集合版
Python逆向工程集成工具
AI渗透测试蜂群项目
免杀致盲底层驱动BYOVD
一键挖掘敏感信息泄露
Jeecg综合漏洞利用工具
内网扫描服务探测工具
BP短信辅助绕过插件
Java内存马检测工具
Burp/Yakit平替抓包项目
WIN系统红队Rootkit项目
WIN系统红队Rootkit项目2
AI大模型设备安全基线排查
网络安全扫描分析平台
桌面化安全测试工具集
小迪安全知识库
-
+
首页
WIN系统红队Rootkit项目
WIN系统红队Rootkit项目
# r77 Rootkit 项目地址:https://github.com/bytecode77/r77-rootkit [](https://github.com/bytecode77/r77-rootkit#r77-rootkit) ## 无文件环 3 rootkit [](https://github.com/bytecode77/r77-rootkit#fileless-ring-3-rootkit) r77 是一个 ring 3 rootkit,它会隐藏所有信息: * 文件、目录 * 进程和 CPU/GPU 使用情况 * 注册表项和值 * 服务 * TCP 和 UDP 连接 * 连接点、命名管道、计划任务 ## 按前缀隐藏 [](https://github.com/bytecode77/r77-rootkit#hiding-by-prefix) 一切以`"$77"`“隐藏”开头的事物。 [](https://camo.githubusercontent.com/4f6775e3890a3688e699011425d523d4fb4051730116e58a7260081aa844d078/68747470733a2f2f62797465636f646537372e636f6d2f696d616765732f70616765732f7237372d726f6f746b69742f686964696e672e77656270) ## 配置系统 [](https://github.com/bytecode77/r77-rootkit#configuration-system) **动态配置系统允许按PID**和**名称**隐藏进程,按**完整路径**隐藏文件系统项,隐藏特定端口的 TCP 和 UDP 连接等。 [](https://camo.githubusercontent.com/06809565ebddcbecc8c1a101349fd8d9f6d929ab00797555804460c8930f0c4e/68747470733a2f2f62797465636f646537372e636f6d2f696d616765732f70616765732f7237372d726f6f746b69742f636f6e6669672e77656270) 该配置位于指定位置`HKEY_LOCAL_MACHINE\SOFTWARE\$77config`,任何无需提升权限的进程均可写入。此密钥的 DACL 设置为授予任何用户完全访问权限。 此外,`$77config`密钥被rootkit隐藏了。 ## 安装程序 [](https://github.com/bytecode77/r77-rootkit#installer) 部署 r77 只需要一个文件:`Install.exe`。执行后,r77 会持久化到系统中,并注入所有正在运行的进程。 `Uninstall.exe`从系统中完全、优雅地移除 r77。 `Install.shellcode`这是安装程序的 shellcode 版本。这样,安装过程就可以在不删除任何文件的情况下完成`Install.exe`。只需将 shellcode 加载到内存中,将其转换为函数指针,然后执行即可: ``` int main() { // 1. Load Install.shellcode from resources or from a BYTE[] // Ideally, encrypt the file and decrypt it here to avoid scantime detection. LPBYTE shellCode = ... // 2. Make the shellcode RWX. DWORD oldProtect; VirtualProtect(shellCode, shellCodeSize, PAGE_EXECUTE_READWRITE, &oldProtect); // 3. Cast the buffer to a function pointer and execute it. ((void(*)())shellCode)(); // This is the fileless equivalent to executing Install.exe. return 0; } ``` ## 执行流程 [](https://github.com/bytecode77/r77-rootkit#execution-flow) 该rootkit驻留在系统内存中,不会向磁盘写入任何文件。这一过程分多个阶段完成。 此图展示了从安装程序执行到每个进程中 rootkit DLL 运行的各个阶段。[文档中](https://docs.bytecode77.com/r77-rootkit/Technical%20Documentation.pdf)有一个章节详细介绍了每个阶段的实现。 [](https://camo.githubusercontent.com/f8b0407b0215b9c3b3b0a482d093c7beb3659fa5d35995ace5d2d5d5903a6ff4/68747470733a2f2f62797465636f646537372e636f6d2f696d616765732f70616765732f7237372d726f6f746b69742f657865637574696f6e2d666c6f772d6c696768742e77656270) ## AV/EDR规避 [](https://github.com/bytecode77/r77-rootkit#avedr-evasion) 目前有多种AV和EDR规避技术正在使用: * **AMSI 绕过:**此 PowerShell 内联脚本通过修改代码使其`amsi.dll!AmsiScanBuffer`始终返回 false 来禁用 AMSI `AMSI_RESULT_CLEAN`。它利用多态性来规避 AMSI 绕过的签名检测。 * **DLL 解除挂钩:**由于 EDR 解决方案通过挂钩来监控 API 调用`ntdll.dll`,因此需要通过`ntdll.dll`从磁盘加载一份全新的 DLL 副本并恢复原始部分来移除这些挂钩。否则,将会检测到进程注入攻击。 ## 测试环境 [](https://github.com/bytecode77/r77-rootkit#test-environment) 测试控制台是一个有用的工具,可以将 r77 注入到各个进程中,并对配置系统进行测试。 [](https://camo.githubusercontent.com/5c6875ea5e73565a1342c0315253effc00ae4d0faac34acf6f6f0ec4a502c54f/68747470733a2f2f62797465636f646537372e636f6d2f696d616765732f70616765732f7237372d726f6f746b69742f74657374636f6e736f6c652e77656270) ## 技术文档 [](https://github.com/bytecode77/r77-rootkit#technical-documentation) 请阅读[技术文档](https://docs.bytecode77.com/r77-rootkit/Technical%20Documentation.pdf),以全面完整地了解 r77 及其内部结构,以及如何部署和集成它。 ## 下载 [](https://github.com/bytecode77/r77-rootkit#downloads) [r77 Rootkit 1.8.1.zip](https://downloads.bytecode77.com/r77Rootkit%201.8.1.zip) (**ZIP 密码:** bytecode77) [技术文档](https://docs.bytecode77.com/r77-rootkit/Technical%20Documentation.pdf)
xiaodi
2026年6月1日 15:44
4
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)