GoPhantom 是一个为红队演练和安全研究设计的下一代荷载加载器（Payload Loader）生成器，具有免杀能力

工具介绍

GoPhantom 是一个为红队演练和安全研究设计的下一代荷载加载器（Payload Loader）生成器。它利用 Go 语言的强大功能，将原始的 Shellcode 和一个诱饵文件打包成一个独立的、具有较强免杀（AV-Evasion）能力的 Windows 可执行文件。

核心功能 (Key Features)

• 🛡️ 强力加密: 使用 AES-256-GCM 对荷载 (Shellcode) 和诱饵文件进行加密，确保静态分析的难度。
• 🔑 动态密钥: 为每一次构建任务生成一个全新的、唯一的 AES 加密密钥。
• decoy 诱饵文件: 支持打包一个正常的诱饵文件（如 PDF、图片、文档），在执行恶意代码的同时打开它，以迷惑目标用户，提高社会工程学攻击的成功率。
• 🚀 Fire and Forget: 采用“发射后不管”的执行模式，Shellcode 在独立的线程中运行，不阻塞主程序，执行后立刻与主进程分离。
• 👻 反沙箱技术: 内置基础的反沙箱检测功能，通过检查物理内存大小和 CPU 核心数量来规避自动化分析环境。
• 📦 优化编译: 专为 windows/amd64 目标进行交叉编译，并使用 ldflags 优化选项 (-s -w -H windowsgui) 来减小最终文件体积、剥离符号信息并隐藏控制台窗口。
• ⚙️ 纯 Go 实现: 生成器和加载器模板完全由 Go 语言编写，不依赖 CGO，保证了良好的可移植性和编译速度。

安装与使用

要求:

• Go 1.18 或更高版本。

步骤:

1. 克隆本仓库到你的本地机器：

   git clone [https://github.com/hsad/GoPhantom.git](https://github.com/hsad/GoPhantom.git)    cd GoPhantom 

1. 将你的原始 Shellcode (例如 beacon.bin) 和诱饵文件 (例如 document.pdf) 放入项目目录。

2. 运行 generator.go 并指定所需参数来生成加载器。

命令行参数

• -decoy <file_path>: (必需) 指定用作诱饵的文件的路径。
• -payload <file_path>: (必需) 指定原始 x64 Shellcode 文件的路径。
• -out <file_name>: (可选) 指定输出的可执行文件的名称。默认为 FinalLoader.exe。

使用示例

步骤 1: 生成加载器

在攻击机上，我们准备一个作为荷载的 shellcode (calc_x64.bin，功能是弹出一个计算器) 和一个无害的诱饵文件 (info.txt)。然后运行生成器：

go run generator.go -decoy "info.txt" -payload "calc_x64.bin" -out "hello.exe" 

生成器会显示带有你签名的 Logo，并完成编译过程，最终生成 hello.exe。

步骤 2: 在目标机器执行

将 hello.exe 发送给目标并在 Windows 11 环境下执行。

程序会立刻打开诱饵文件 info.txt 来吸引用户的注意力，与此同时，作为核心荷载的计算器程序 (calc.exe) 已经在后台被成功唤起。

工具获取

https://github.com/watanabe-hsad/GoPhantom

文章来源：夜组安全