RustSL 免杀生成框架教学文档<\/h1>

1. 项目概述<\/h2>
RustSL 是一款基于 Rust 语言开发的模块化免杀生成框架，专门用于生成具有高度隐蔽性的 Shellcode 加载器。该项目参考了 Pizz33\/JoJoLoader 的设计思路，并进行了全面的模块化重构。<\/p>

1.1 核心特点<\/h3>

模块化架构<\/strong>：将 VM 检测、Shellcode 加解密、内存分配和运行方式完全解耦<\/li>
GUI 支持<\/strong>：提供基于 PyQt5 的图形界面，降低使用门槛<\/li>
高度可扩展<\/strong>：支持插件化扩展，便于二次开发<\/li>

跨平台兼容<\/strong>：支持 Windows、Linux 和 macOS 操作系统<\/li> <\/ul>
1.2 免杀效果<\/h3>
实测能够绕过火绒、360 等主流杀毒软件的检测，适合作为红队基础设施的二次开发基础。<\/p>
2. 项目架构分析<\/h2>
2.1 目录结构<\/h3>
RustSL\/ ├── gui\/ # PyQt5 图形界面与组件 ├── src\/ # Rust 核心代码 │ ├── main.rs # Rust 主程序入口 │ ├── alloc_mem\/ # 内存分配相关模块 │ ├── decrypt\/ # Shellcode 解密模块 │ ├── exec\/ # Shellcode 执行模块 │ ├── forgery\/ # 资源伪造与混淆 │ ├── guard\/ # 反沙箱\/反虚拟机检测 │ └── utils\/ # 工具函数 ├── config\/ │ └── plugins.json # 插件与功能配置 ├── encrypt_plugins\/ # Python 加密插件目录 ├── sign\/ # 签名相关 ├── encrypt.py # Shellcode 加密脚本 ├── main.py # GUI 启动入口 ├── Cargo.toml # Rust 项目配置文件 ├── build.rs # Rust 构建脚本 ├── requirements.txt # Python 依赖列表 ├── input\/ # Shellcode 输入目录 ├── output\/ # 生成的可执行文件输出目录 ├── static\/ # 静态资源（如图片、截图） ├── icons\/ # 额外图标资源 └── rust-toolchain.toml # Rust 工具链配置 <\/code><\/pre> 2.2 核心模块功能<\/h3> 2.2.1 内存分配模块 (alloc_mem\/)<\/h4> 负责 Shellcode 的内存分配策略实现，支持多种内存分配方式。<\/p> 2.2.2 解密模块 (decrypt\/)<\/h4> 实现与加密插件对应的解密算法，确保 Shellcode 在内存中正确还原。<\/p> 2.2.3 执行模块 (exec\/)<\/h4> 提供多种 Shellcode 执行方式，包括线程创建、回调函数等多种技术。<\/p> 2.2.4 防护模块 (guard\/)<\/h4> 实现反沙箱和反虚拟机检测功能，防止在分析环境中执行。<\/p> 2.2.5 伪造模块 (forgery\/)<\/h4> 处理资源伪造和签名混淆，增强程序的隐蔽性。<\/p> 3. 环境配置指南<\/h2> 3.1 系统要求<\/h3> Python 3.7+<\/li> Rust Nightly 工具链<\/li> PyQt5 库<\/li> Cargo 包管理器<\/li> <\/ul> 3.2 Python 依赖安装<\/h3> pip install -r requirements.txt <\/span><\/span><\/code><\/pre>必需依赖包：<\/p> PyQt5：图形界面框架<\/li> pycryptodome：加密库（支持 ChaCha20, AES-GCM, RC4 等算法）<\/li> <\/ul> 3.3 Rust 环境配置<\/h3> 3.3.1 Windows 环境配置<\/h4> 安装 Rustup<\/p> 下载并运行 rustup-init.exe<\/li> <\/ul> <\/li> 配置 Nightly 工具链<\/p> # 安装 nightly 工具链<\/span> <\/span><\/span>rustup install nightly <\/span><\/span> <\/span><\/span># 安装 rust-src 组件（用于 build-std 重新编译标准库）<\/span> <\/span><\/span>rustup component add rust-src --toolchain nightly <\/span><\/span> <\/span><\/span># 添加 Windows MSVC 目标<\/span> <\/span><\/span>rustup target add x86_64-pc-windows-msvc --toolchain nightly <\/span><\/span><\/code><\/pre><\/li> 验证安装<\/p> cargo +nightly --version <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3.3.2 Linux\/macOS 环境配置<\/h4> 安装 Rustup<\/p> curl --proto '=https'<\/span> --tlsv1.2 -sSf https:\/\/sh.rustup.rs | sh <\/span><\/span>source $HOME\/.cargo\/env <\/span><\/span><\/code><\/pre><\/li> 配置 Nightly 工具链<\/p> rustup install nightly <\/span><\/span>rustup component add rust-src --toolchain nightly <\/span><\/span>rustup target add x86_64-pc-windows-gnu --toolchain nightly <\/span><\/span><\/code><\/pre><\/li> 安装交叉编译工具<\/p> Ubuntu\/Debian: sudo apt update <\/span><\/span>sudo apt install gcc-mingw-w64 <\/span><\/span><\/code><\/pre><\/li> Arch Linux: sudo pacman -S mingw-w64-gcc <\/span><\/span><\/code><\/pre><\/li> macOS (Homebrew): brew install mingw-w64 <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 4. 使用方法<\/h2> 4.1 启动 GUI 界面<\/h3> python main.py <\/span><\/span><\/code><\/pre>4.2 GUI 功能特性<\/h3> 用户友好<\/strong>：可视化配置参数，无需命令行知识<\/li> 集成化操作<\/strong>：Shellcode 选择、加密配置、图标设置、反沙箱检测等一体化操作<\/li> 实时反馈<\/strong>：显示配置状态和生成进度<\/li> 插件化扩展<\/strong>：基于配置文件动态加载功能模块<\/li> <\/ul> 5. 核心免杀技术详解<\/h2> 5.1 静态特征消除技术<\/h3> 5.1.1 Rust 语言优势<\/h4> 静态链接和零依赖<\/strong>：生成单一独立二进制文件，减少外部库特征<\/li> 高效编译优化<\/strong>：通过 LTO、strip 和 codegen-units=1 配置生成紧凑代码<\/li> 无运行时开销<\/strong>：编译为原生机器码，避免虚拟机特征<\/li> <\/ul> 5.1.2 高级混淆特性<\/h4> 路径修剪<\/strong> (trim-paths)：移除调试信息和路径字符串<\/li> Panic 立即终止<\/strong> (panic immediate-abort)：移除 panic 消息<\/li> 标准库重编译<\/strong>：彻底消除标准库特征<\/li> <\/ul> 5.2 Shellcode 处理流程<\/h3> 5.2.1 深度加密与特征去除<\/h4> 多种加密算法支持：ChaCha20、AES-GCM、RC4 等<\/li> 消除恶意代码的特征指纹<\/li> 规避静态检测分析<\/li> <\/ul> 5.2.2 内存解密执行<\/h4> Payload 在磁盘上保持加密状态<\/li> 运行时在内存中动态解密还原<\/li> 避免文件落地检测<\/li> <\/ul> 5.3 动态抗分析技术<\/h3> 5.3.1 全局混淆机制<\/h4> 明文混淆<\/strong>：使用 obfstr 库编译时加密敏感字符串<\/li> 执行流干扰<\/strong>：插入无意义的混淆函数，打乱控制流图<\/li> 增加逆向分析成本<\/strong>：干扰模拟执行和分析<\/li> <\/ul> 5.3.2 严格的沙箱检测<\/h4> 多维度环境检测<\/li> 疑似沙箱环境立即终止<\/li> 保护 Shellcode 逻辑不暴露<\/li> <\/ul> 5.3.3 动态 API 调用技术<\/h4> IAT 隐藏<\/strong>：通过动态获取函数地址调用 API<\/li> 冷门 API 替换<\/strong>：使用功能相同但监控较少的 API<\/li> 系统调用替代<\/strong>：在适当场景使用底层系统调用<\/li> <\/ul> 6. 二次开发指南<\/h2> 6.1 插件化架构基础<\/h3> 基于 config\/plugins.json 配置文件动态加载功能模块，新插件只需实现特定接口即可自动识别。<\/p> 6.2 添加新的加解密方式<\/h3> 6.2.1 加密插件开发<\/h4> 在 encrypt_plugins\/<\/code> 目录中添加 Python 加密脚本<\/li> 实现标准的插件接口函数<\/li> <\/ol> 6.2.2 解密模块开发<\/h4> 在 src\/decrypt\/<\/code> 目录中添加对应的 Rust 解密模块<\/li> 实现与加密算法匹配的解密逻辑<\/li> <\/ol> 6.2.3 配置注册<\/h4> { <\/span><\/span> "encryption_plugins"<\/span>: { <\/span><\/span> "new_algorithm"<\/span>: { <\/span><\/span> "name"<\/span>: "新加密算法"<\/span>, <\/span><\/span> "description"<\/span>: "算法描述"<\/span>, <\/span><\/span> "enabled"<\/span>: true<\/span> <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>6.2.4 Cargo 特性配置<\/h4> 在 Cargo.toml 中添加对应的 feature 标志。<\/p> 6.3 添加新的运行方式<\/h3> 6.3.1 执行模块开发<\/h4> 在 src\/exec\/<\/code> 目录中实现新的执行逻辑<\/li> 遵循模块化设计规范<\/li> <\/ol> 6.3.2 接口实现要求<\/h4> 实现特定的 trait 接口<\/li> 提供名称和描述信息<\/li> 确保错误处理完善<\/li> <\/ul> 6.4 添加新的内存分配方式<\/h3> 6.4.1 分配策略实现<\/h4> 在 src\/alloc_mem\/<\/code> 目录中实现分配逻辑<\/li> 考虑内存保护和权限设置<\/li> <\/ol> 6.4.2 最佳实践<\/h4> 实现多种内存分配 API<\/li> 支持内存权限动态调整<\/li> 包含错误恢复机制<\/li> <\/ul> 6.5 添加新的沙箱检测策略<\/h3> 6.5.1 检测逻辑开发<\/h4> 在 src\/guard\/<\/code> 目录中实现检测逻辑<\/li> 多维度环境检测指标<\/li> <\/ol> 6.5.2 检测维度建议<\/h4> 硬件信息检查<\/li> 运行时间分析<\/li> 进程和环境检测<\/li> 用户交互验证<\/li> <\/ul> 7. 编译优化配置<\/h2> 7.1 Cargo 编译配置<\/h3> 在 Cargo.toml 中配置优化参数：<\/p> [profile<\/span>.release<\/span>] <\/span><\/span>lto<\/span> = true<\/span> <\/span><\/span>codegen-units<\/span> = 1<\/span> <\/span><\/span>panic<\/span> = "abort"<\/span> <\/span><\/span>strip<\/span> = true<\/span> <\/span><\/span><\/code><\/pre>7.2 高级特性启用<\/h3> 使用 Nightly 特性进行深度优化：<\/p> [package<\/span>.metadata<\/span>.rustflags<\/span>] <\/span><\/span>"-Z"<\/span> = "trim-paths=yes"<\/span> <\/span><\/span><\/code><\/pre>8. 注意事项与最佳实践<\/h2> 8.1 安全使用规范<\/h3> 仅用于安全研究和授权测试<\/li> 遵守当地法律法规<\/li> 不得用于非法用途<\/li> <\/ul> 8.2 开发建议<\/h3> 保持模块独立性<\/li> 完善的错误处理<\/li> 定期更新检测逻辑<\/li> 多环境测试验证<\/li> <\/ul> 8.3 免杀效果维持<\/h3> 定期更新加密算法<\/li> 多样化执行方式<\/li> 持续优化沙箱检测<\/li> 关注杀软行为变化<\/li> <\/ul> 9. 故障排除<\/h2> 9.1 常见问题解决<\/h3> 编译错误<\/strong>：检查 Rust 工具链版本和依赖<\/li> 运行异常<\/strong>：验证 Shellcode 格式和加密配置<\/li> 检测绕过失败<\/strong>：调整沙箱检测策略和混淆强度<\/li> <\/ul> 9.2 调试技巧<\/h3> 启用详细日志输出<\/li> 分模块测试功能<\/li> 对比分析生成文件特征<\/li> <\/ul> 本教学文档详细介绍了 RustSL 框架的核心技术原理、使用方法和二次开发指南，为安全研究人员提供全面的技术参考。在实际使用过程中，请确保遵守相关法律法规和道德规范。<\/p>

RustSL 免杀生成框架教学文档<\/h1>

1. 项目概述<\/h2> RustSL 是一款基于 Rust 语言开发的模块化免杀生成框架，专门用于生成具有高度隐蔽性的 Shellcode 加载器。该项目参考了 Pizz33\/JoJoLoader 的设计思路，并进行了全面的模块化重构。<\/p>

1.2 免杀效果<\/h3> 实测能够绕过火绒、360 等主流杀毒软件的检测，适合作为红队基础设施的二次开发基础。<\/p>

2. 项目架构分析<\/h2>

2.2 核心模块功能<\/h3>

2.2.1 内存分配模块 (alloc_mem\/)<\/h4> 负责 Shellcode 的内存分配策略实现，支持多种内存分配方式。<\/p>

2.2.2 解密模块 (decrypt\/)<\/h4> 实现与加密插件对应的解密算法，确保 Shellcode 在内存中正确还原。<\/p>

2.2.3 执行模块 (exec\/)<\/h4> 提供多种 Shellcode 执行方式，包括线程创建、回调函数等多种技术。<\/p>

2.2.4 防护模块 (guard\/)<\/h4> 实现反沙箱和反虚拟机检测功能，防止在分析环境中执行。<\/p>

2.2.5 伪造模块 (forgery\/)<\/h4> 处理资源伪造和签名混淆，增强程序的隐蔽性。<\/p>

3. 环境配置指南<\/h2>

3.3 Rust 环境配置<\/h3>

4. 使用方法<\/h2>

5. 核心免杀技术详解<\/h2>

5.1 静态特征消除技术<\/h3>

5.2 Shellcode 处理流程<\/h3>

5.3 动态抗分析技术<\/h3>

6. 二次开发指南<\/h2>

6.1 插件化架构基础<\/h3> 基于 config\/plugins.json 配置文件动态加载功能模块，新插件只需实现特定接口即可自动识别。<\/p>

6.2 添加新的加解密方式<\/h3>

6.2.4 Cargo 特性配置<\/h4> 在 Cargo.toml 中添加对应的 feature 标志。<\/p>

6.3 添加新的运行方式<\/h3>

6.4 添加新的内存分配方式<\/h3>

6.5 添加新的沙箱检测策略<\/h3>

7. 编译优化配置<\/h2>

8. 注意事项与最佳实践<\/h2>

9. 故障排除<\/h2>

1. 项目概述<\/h2>
RustSL 是一款基于 Rust 语言开发的模块化免杀生成框架，专门用于生成具有高度隐蔽性的 Shellcode 加载器。该项目参考了 Pizz33\/JoJoLoader 的设计思路，并进行了全面的模块化重构。<\/p>

1.2 免杀效果<\/h3>
实测能够绕过火绒、360 等主流杀毒软件的检测，适合作为红队基础设施的二次开发基础。<\/p>

2.2.1 内存分配模块 (alloc_mem\/)<\/h4>
负责 Shellcode 的内存分配策略实现，支持多种内存分配方式。<\/p>

2.2.2 解密模块 (decrypt\/)<\/h4>
实现与加密插件对应的解密算法，确保 Shellcode 在内存中正确还原。<\/p>

2.2.3 执行模块 (exec\/)<\/h4>
提供多种 Shellcode 执行方式，包括线程创建、回调函数等多种技术。<\/p>

2.2.4 防护模块 (guard\/)<\/h4>
实现反沙箱和反虚拟机检测功能，防止在分析环境中执行。<\/p>

2.2.5 伪造模块 (forgery\/)<\/h4>
处理资源伪造和签名混淆，增强程序的隐蔽性。<\/p>

6.1 插件化架构基础<\/h3>
基于 config\/plugins.json 配置文件动态加载功能模块，新插件只需实现特定接口即可自动识别。<\/p>

6.2.4 Cargo 特性配置<\/h4>
在 Cargo.toml 中添加对应的 feature 标志。<\/p>