破解迷雾：红队视角下的 C2 对抗与绕检艺术

一、C2通信框架

Command and Control（命令与控制）的缩写，是指攻击者用来远程控制被入侵设备（如计算机、服务器等）的通信架构。C2 攻击 是指攻击者在目标系统中植入远程控制恶意软件（如木马、僵尸网络、后门），然后通过 C2 服务器 远程指挥被感染的设备执行各种恶意活动。

二、C2绕检多聚焦Windows平台

主要原因有三：

1、目标群体多

Windows 在企业、政府、个人用户中的市场占有率最高；

红队、APT、恶意攻击者最常面对的是 Windows 主机。

2、杀软与EDR防护机制强

Windows 系统中广泛部署了：

杀毒软件（如 Defender、360、卡巴等）；

EDR 系统（如 CrowdStrike、SentinelOne、火绒终端防护）。

攻击者必须开发出各种技巧绕过检测。

3、Windows 系统机制更复杂

有大量易于利用的 API（如 APC、DLL注入、WMI、COM）；

系统自带的“白利用工具”丰富（LOLBAS 工具集）；

支持 PE 文件、Shellcode、DLL、反射加载等多样的攻击载体。

4、其他平台也有绕检需求，但相对较少

三、C2 绕检涉及的三个核心层面

1、Shellcode（控制载荷）

Shellcode 是精心构造的二进制指令集，通常用于漏洞利用或恶意软件中，直接在目标系统的处理器上运行，常用于绕过安全机制以执行恶意操作（如打开命令行“Shell”，故名Shellcode）。

下图为CS生成的shellcode示例：

.c文件（可读）

.bin文件（不可读，但是含有的字符串部分可读）

2、Loader（加载器）

操作系统有操作系统的加载器；软件层面，开发中不同语言有不同语言的加载器...

它是程序运行中不可或缺的一个步骤，加载器会将程序置放在存储器中，让它开始运行。加载程序的步骤包括，读取可执行文件，将可执行文件的内容写入存储器中，之后开展其他所需的准备工作，准备让可执行文件运行。当加载完成之后，操作系统会将控制权交给加载的代码，让它开始运作。

加载器本质上就是一段专门设计的代码！就是一个“迷你程序”（比如Windows的Loader、安卓的ClassLoader）。

从开机到玩游戏，背后都是各种加载器代码在默默干活。

那么，在C2绕检体系中，加载器又是什么，起什么作用？

Github上关于加载器的一些项目：

https://github.com/xf555er/ShellcodeLoader

https://github.com/knownsec/shellcodeloader

风险提示：Github上某些个人加载器项目可能有后门，大家注意甄别！

3、PE可执行文件（封装体）

四、杀软检测机制：四重门

签名检测→静态分析→本地动态分析→云端/沙箱分析

1、签名检测

即特征匹配，这种方式主要依赖人工分析后生成的特征值，例如常见的MD5指纹。当一些知名工具如 fscan、毒液等被部署到系统中时，往往会立刻被查杀，因为它们的哈希值已被安全厂商收录到病毒特征数据库中。这类库通常来源于对 GitHub 等公开平台工具的反向分析。应对这一策略的方式比较直接：只需对工具进行简单修改或重新编译，以改变其哈希值，即可绕过检测。

2、静态分析

在不执行程序的前提下，杀软会对文件进行深入的内容检查，比如反编译、提取可疑字符串、识别代码模式等。即便MD5值已变，若程序内部仍包含显著的恶意标志，也可能被拦截。要规避这一层，常用的方式包括对代码或数据段进行加密、字符串混淆等静态防护手段。

3、本地动态分析

在这一阶段，杀软会在本机或者虚拟环境中模拟执行目标程序，实时监测其行为，尤其是API调用链。例如，如果检测到程序连续进行内存分配、写入并执行操作，很可能被认为是可疑行为模式。为此，可采用API加密调用、函数重写、钩子绕过等技术手段来规避。

4、云端/沙箱动态分析

当本地资源不足以做出判断时，部分杀软会将可疑样本上传至云端或远程沙箱进行更深层次的行为模拟分析。这类分析环境更贴近真实系统，因此需要更复杂的绕检策略，包括环境检测、行为延迟触发、反沙箱机制等。

五、绕检加载器编写套路

目前所有绕检技巧和杀软检测都围绕着以下三个步骤进行对抗：

1、对shellcode进行处理（如加密、混淆、编码或分离等）；

2、分配可执行的内存空间 ，将处理后的shellcode写入内存；

3、执行该内存区域中的shellcode

六、结语

#红队演练 #内存执行 #检测绕过 #Loader #Shellcode #C2框架 #合规安全测试

原文始发于微信公众号（仇辉攻防）：破解迷雾：红队视角下的 C2 对抗与绕检艺术