GenEDRBypass An advanced tool for bypassing EDR (Endpoint Detection and Response) systems and antivirus software by dynamically generating and injecting shellcode. This project is aimed at professionals in cybersecurity for ethical hacking, testing security defenses, and educational purposes.
- Dynamic Shellcode Generation: Automatically generates shellcode using
msfvenom. - Obfuscation Techniques: Employs XOR encryption and dynamic key rotation to avoid signature-based detection.
- Memory Management: Allocates and manipulates memory for executing the shellcode.
- Anti-Debugging and Anti-Sandboxing: Implements techniques to evade debuggers and sandbox environments.
- Configurable Settings: IP address and port for reverse connections are easily configurable.
- .NET Core SDK
msfvenom(Part of the Metasploit framework)- Admin privileges for full functionality
-
Clone the repository:
git clone https://github.com/geniuszly/GenEDRBypass cd GenEDRBypass -
Install dependencies: Make sure to have .NET Core installed on your machine. You can download it here.
-
Configure
Settings.cs: OpenSettings.csand modifyLHOSTandLPORTto your preferred IP and port for the reverse shell. -
Build and Run: To build the project, use:
dotnet build
To run the program, use:
dotnet run
-
Monitor the logs: Logs are generated in the
GenEDRBypass.logfile for debugging and monitoring purposes.
> dotnet run
[INFO] Генерация и обфускация шеллкода для обратного подключения к 192.168.1.100:4444...
[INFO] Запуск генерации шеллкода с использованием msfvenom...
[INFO] Шеллкод успешно сгенерирован. Выполняется парсинг...
[INFO] Парсинг завершен. Количество байтов в шеллкоде: 510
[INFO] Выполняется обфускация шеллкода для обхода сигнатур...
[INFO] Обфускация завершена.
[INFO] Проверка на наличие отладчика...
[INFO] Проверка на песочницу...
[INFO] Запутывание выполнения...
[INFO] Память выделена по адресу: 0x7ffdf000
[INFO] Защита памяти изменена на: PAGE_EXECUTE_READ
[INFO] Дешифруем и копируем шеллкод в выделенную память...
[INFO] Создание потока для инъекции шеллкода...
[INFO] Инъекция шеллкода прошла успешно.
[INFO] Память освобождена по адресу: 0x7ffdf000
[INFO] Выполнение завершено.
Make sure that you modify the shellcode to point to your own IP address and port for the reverse shell. The shellcode is dynamically generated for each run, ensuring that the signature changes, making detection by antivirus software more difficult.
- Uses
VirtualAllocto allocate memory with executable permissions. - Dynamically obfuscates shellcode to change its signature on each run.
- Includes basic anti-debugging and anti-sandbox checks.
- Creates a new thread to execute the payload in a stealthy manner.
This tool is intended for educational purposes and ethical hacking in controlled environments. Unauthorized use on systems you do not own is illegal. Use responsibly and only on systems you are permitted to test.
GenEDRBypass — это продвинутый инструмент для обхода систем обнаружения и реагирования на конечных точках (EDR) и антивирусного программного обеспечения. Он предназначен для профессионалов в области кибербезопасности и может использоваться для этичного хакерства, тестирования защиты и образовательных целей.
- Динамическая генерация шеллкода: Автоматически создает шеллкод с помощью
msfvenom. - Техники обфускации: Применяет шифрование XOR и динамическое изменение ключа для обхода сигнатурного обнаружения.
- Управление памятью: Выделяет и манипулирует памятью для выполнения шеллкода.
- Антиотладка и антипесочница: Реализует техники обхода отладчиков и песочниц.
- Настраиваемые параметры: IP-адрес и порт для обратного подключения легко настраиваются.
- .NET Core SDK
msfvenom(часть фреймворка Metasploit)- Администраторские права для полного функционала
-
Клонируйте репозиторий:
git clone https://github.com/geniuszly/GenEDRBypass cd GenEDRBypass -
Установите зависимости: Убедитесь, что у вас установлен .NET Core. Вы можете скачать его здесь.
-
Настройте
Settings.cs: ОткройтеSettings.csи изменитеLHOSTиLPORTна ваш IP и порт для обратного подключения. -
Сборка и запуск: Для сборки проекта используйте:
dotnet build
Для запуска программы используйте:
dotnet run
-
Мониторинг логов: Логи создаются в файле
GenEDRBypass.logдля отладки и мониторинга.
> dotnet run
[INFO] Генерация и обфускация шеллкода для обратного подключения к 192.168.1.100:4444...
[INFO] Запуск генерации шеллкода с использованием msfvenom...
[INFO] Шеллкод успешно сгенерирован. Выполняется парсинг...
[INFO] Парсинг завершен. Количество байтов в шеллкоде: 510
[INFO] Выполняется обфускация шеллкода для обхода сигнатур...
[INFO] Обфускация завершена.
[INFO] Проверка на наличие отладчика...
[INFO] Проверка на песочницу...
[INFO] Запутывание выполнения...
[INFO] Память выделена по адресу: 0x7ffdf000
[INFO] Защита памяти изменена на: PAGE_EXECUTE_READ
[INFO] Дешифруем и копируем шеллкод в выделенную память...
[INFO] Создание потока для инъекции шеллкода...
[INFO] Инъекция шеллкода прошла успешно.
[INFO] Память освобождена по адресу: 0x7ffdf000
[INFO] Выполнение завершено.
Не забудьте изменить шеллкод, чтобы он указывал на ваш собственный IP-адрес и порт для обратного подключения. Шеллкод генерируется динамически для каждого запуска, что обеспечивает изменение его сигнатуры и затрудняет обнаружение антивирусным ПО.
- Использует
VirtualAllocдля выделения памяти с правами на выполнение. - Динамически обфусцирует шеллкод для изменения его сигнатуры при каждом запуске.
- Включает базовые проверки на наличие отладчика и песочницы.
- Создает новый поток для выполнения полезной нагрузки скрытным образом.
Этот инструмент предназначен исключительно для образовательных целей и этичного хакерства в контролируемых условиях. Неавторизованное использование на системах, которые вам не принадлежат, является незаконным. Используйте ответственно и только на системах, на которых вы имеете право проводить тестирование.