Inceptor 项目使用教程
inceptor Template-Driven AV/EDR Evasion Framework 
项目地址: https://gitcode.com/gh_mirrors/in/inceptor
1. 项目介绍
Inceptor 是一个模板驱动的 AV/EDR 绕过框架,旨在帮助渗透测试人员和红队成员自动化绕过常见的 AV 和 EDR 解决方案的过程。Inceptor 是一个基于模板的 PE 打包工具,专注于易用性和用户自定义。
主要功能
- 模板驱动的 PE 打包:Inceptor 允许用户通过模板自定义打包过程,以绕过常见的 AV 和 EDR 解决方案。
- Shellcode 转换/加载:支持将现有的 EXE/DLL 转换为 shellcode,使用多种开源转换工具,如 Donut、sRDI 和 Pe2Sh。
- 编码器和加密器:提供多种编码器、压缩器和加密器,包括 Xor、AES、Zlib 等,以增强 payload 的混淆和安全性。
- AV/EDR 绕过机制:内置多种 AV 和 EDR 绕过机制,如 AMSI 绕过、ETW 绕过、全钩子移除、直接系统调用等。
2. 项目快速启动
安装步骤
-
克隆仓库:
git clone --recursive https://github.com/klezVirus/inceptor.git cd inceptor -
创建虚拟环境并激活:
virtualenv venv venv\Scripts\activate.bat -
安装依赖:
pip install -r requirements.txt -
更新配置:
python update-config.py
使用示例
以下是一个简单的使用示例,展示如何使用 Inceptor 打包一个 EXE 文件:
python inceptor.py -f example.exe -t classic
3. 应用案例和最佳实践
案例1:绕过 AMSI 和 EDR
在某些渗透测试场景中,目标系统可能启用了 AMSI 和 EDR 解决方案。使用 Inceptor 可以生成一个绕过这些防护机制的 payload。
python inceptor.py -f example.exe -t classic-dinvoke --amsi-bypass --etw-bypass
案例2:生成混淆的 Shellcode
在某些情况下,需要生成高度混淆的 shellcode 以绕过静态分析。Inceptor 提供了多种编码器和加密器来实现这一目标。
python inceptor.py -f example.exe -t classic --encoder xor --encoder aes
4. 典型生态项目
1. Donut
Donut 是一个开源工具,用于将 .NET 程序集、DLL 和 EXE 文件转换为 shellcode。Inceptor 集成了 Donut,使其能够处理 .NET 二进制文件。
2. sRDI
sRDI(Shellcode Reflective DLL Injection)是一个工具,可以将 DLL 转换为反射式 DLL 注入的 shellcode。Inceptor 使用 sRDI 来处理 DLL 文件。
3. SysWhispers
SysWhispers 是一个项目,提供了直接系统调用的实现,以绕过 EDR 的钩子。Inceptor 集成了 SysWhispers,使其能够生成使用直接系统调用的 payload。
4. ConfuserEx
ConfuserEx 是一个 .NET 混淆器,用于混淆 .NET 程序集。Inceptor 支持使用 ConfuserEx 来混淆生成的 .NET payload。
通过这些生态项目,Inceptor 能够提供全面的 AV/EDR 绕过解决方案,满足不同渗透测试和红队任务的需求。
inceptor Template-Driven AV/EDR Evasion Framework 项目地址: https://gitcode.com/gh_mirrors/in/inceptor
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
1083
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
