bypass-all — AV回避検証キット
概要
bypass-allは、既存の「arsenal-kit」派生ツール群(UDRL-VS、process inject kitなど)を元に改変されたC++プロジェクトで、プロセスインジェクションや単一ファイルのリモート分離ロードを行うシェルコードローダー等を含みます。READMEではYARAによる特徴検知を回避するためのプロファイル除去や、テスト結果のスクリーンショットが示されており、動画での使用例も案内されています。開発者はリポジトリ内で操作が制御された靶機環境で行われたと断っており、法的・倫理的遵守を強調しています。
リポジトリの統計情報
- スター数: 9
- フォーク数: 1
- ウォッチャー数: 9
- コミット数: 5
- ファイル数: 7
- メインの言語: C++
主な特徴
- UDRL-VS/process inject kitの二次開発(fork)をベースに再構築
- YARAシグネチャに依存する検出プロファイルを除去したとする調整
- 単一ファイル型のシェルコードローダーを含む(遠隔ロード対応)
- テストやデモ用のスクリーンショット/動画参照がREADMEで提供
技術的なポイント
本プロジェクトは攻撃技術そのものを提供する目的ではなく、既存ツール群を研究・検証用に整理したものと位置づけられます。技術的には主にプロセスインジェクション(別プロセスにコードを注入して実行させる手法)と、メモリ内でのシェルコードロードに関連する実装を含む点が特徴です。また、作者はYARA等のシグネチャ検知に引っかかる要素を削除したとしており、これは検出ルールやシグネチャ設計の理解がないと誤用につながる可能性があるため注意が必要です。ソースはC++で書かれており、低レイヤ寄りのAPI呼び出しを想定した構成が伺えます。READMEには検証環境のスクリーンショットや動画リンクが張られており、動作確認は制御下の靶機で行われたと明記されています。セキュリティ研究者やフォレンジック担当者にとっては、検出回避技術やメモリ実行パターンの解析材料として価値がありますが、具体的な実行手順や回避方法の再現は法的・倫理的制約の下でのみ行うべきであり、運用環境や第三者への適用は厳禁です。
プロジェクトの構成
主要なファイルとディレクトリ:
- .gitattributes: file
- README.md: file
- Shellcode_Loader: dir
- images: dir
- process_inject: dir
…他 2 ファイル
まとめ
研究・検証向けのAV回避・注入パターン解析用リポジトリ。適法な範囲での利用を。
リポジトリ情報:
- 名前: bypass-all
- 説明: 免杀所有杀软、bypass all,绕过WB、VT ,0检测。
- スター数: 9
- 言語: C++
- URL: https://github.com/Answerr/bypass-all
- オーナー: Answerr
- アバター: https://avatars.githubusercontent.com/u/72319307?v=4
READMEの抜粋(要点):
- 本プロジェクトはUDRL-VS、process inject kitの二次開発版で、YARAの特徴に依存しないよう一部プロファイルを除去したと説明されています。
- 単ファイルのシェルコードローダーを含み、遠隔からの分離ロードを想定した実装がある旨の記載があります。
- 動作確認は制御された靶機環境で行ったと明示しており、違法利用の禁止を強調しています。
- 動画による解説(Bilibili)がリンクされており、デモ映像や検証スクリーンショットが添付されています。