AI 生成 | 12个开源C2/攻击性项目源码分析报告

分析时间：2026年6月分析方式：shallow clone源码 + 目录结构 + 核心模块 + 架构推演项目来自GitHub公开仓库，还漏了好多C2，后续继续补充和跟踪。

🏆 Tier 1：主流成熟项目

1. Sliver（BishopFox/sliver）⭐11.3k

语言组成： Go 99.8%（13389个.go文件）| 总文件：16153

目录结构：

sliver/├── server/          # 服务端（核心）│   ├── c2/          # C2传输协议（mTLS/HTTP/DNS/WireGuard）│   ├── rpc/         # gRPC RPC接口│   ├── generate/    # Implant生成器│   ├── handlers/    # 请求处理│   ├── cryptography/# 加密模块│   ├── certs/       # 证书管理│   ├── db/          # SQLite数据库│   └── ai/          # AI辅助模块（新增）├── client/          # 客户端（操作员CLI）│   └── command/     # 100+子命令│       ├── armory/  # 扩展市场（类似apt-get）│       ├── cursed/  # 诅咒模块│       └── ...      # 60+功能模块├── implant/         # 植入体源码│   └── sliver/│       ├── evasion/ # 规避（分平台）│       ├── handlers/# 任务处理器│       ├── priv/    # 提权│       ├── proxy/   # 代理│       ├── extension/# 扩展加载│       └── netstack/# 用户态网络栈├── protobuf/        # Protobuf通信协议定义│   ├── sliverpb/    # Implant↔Server消息│   ├── clientpb/    # Client↔Server消息│   └── rpcpb/       # RPC服务定义└── vendor/          # 依赖（vendor模式）

核心架构：

• • 通信协议： gRPC + Protobuf，支持 mTLS / HTTP(S) / DNS / WireGuard 四种传输
• • Implant生成：server/generate/ 动态编译Go源码，每个implant独立编译=唯一二进制
• • 多操作员： gRPC server支持多个client同时连接
• • 扩展机制： Armory（client/command/armory/）= 社区扩展市场，一键安装BOF/.NET/工具

规避技术：

• • implant/sliver/evasion/ 分平台实现（Windows/macOS/Linux）
• • 用户态TCP栈 netstack/ 可绕过SOCKS检测
• • 每个implant编译时注入唯一证书+加密密钥

代码质量：⭐9/10

• • 文档极全（AGENTS.md / CONTRIBUTING.md / SECURITY.md）
• • 测试完善（大量_e2e_test.go）
• • Go 1.25，依赖最新
• • BishopFox商业公司维护，代码规范

学习价值：⭐10/10 — 最佳C2学习项目

• • 适合谁： 想完整理解C2架构的人、Go开发者、红队入门

2. Havoc（HavocFramework/Havoc）⭐8.4k

语言组成： Go 60% / C 35% / C++ 5% | 总文件：743

目录结构：

Havoc/├── teamserver/      # Go写的团队服务器│   ├── pkg/         # 核心包│   ├── cmd/         # CLI入口│   └── main.go      # 入口├── client/          # Qt/C++客户端GUI│   ├── src/         # C++源码│   └── include/     # 头文件├── payloads/        # 载荷生成│   ├── Demon/       # 核心Agent（纯C）│   │   └── src/│   │       ├── core/    # 核心功能│   │       ├── inject/  # 注入模块│   │       ├── crypt/   # 加密│   │       └── asm/     # 汇编│   ├── DllLdr/      # DLL加载器│   └── Shellcode/   # Shellcode载荷└── profiles/        # C2 Profile配置

核心架构：

• • Demon Agent： 纯C编写（payloads/Demon/），这是核心竞争力
• • COFF加载器：core/CoffeeLdr.c 支持BOF（Beacon Object File）执行
• • TeamServer： Go写的轻量服务端
• • GUI客户端： Qt/C++桌面应用（不是Web UI）

规避技术（最强之一）：

• • Demon Agent纯C=极小体积+无框架依赖
• • CoffeeLdr = 内存中加载COFF对象文件，不落地
• • VEH异常处理器（VehDebugger）= 反调试
• • 间接系统调用（通过asm目录）
• • Sleep加密 = 内存中休眠时加密自身

代码质量：⭐8/10

• • Demon的C代码质量高，命名规范
• • Go服务端结构清晰
• • Qt客户端相对复杂

学习价值：⭐9/10

• • 重点学： Demon Agent的C代码 = Windows恶意软件编写的教科书
• • 适合谁： 想学底层Windows操作、内存注入、EDR绕过的人

3. Mythic（its-a-feature/Mythic）⭐4.5k

语言组成： Go 55% / JavaScript 40% / Docker | 总文件：1071

目录结构：

Mythic/├── mythic-docker/       # 核心Docker编排├── Mythic_CLI/          # CLI管理工具（Go）│   └── src/             # Go源码├── mythic-react-docker/ # React前端├── MythicReactUI/       # React UI组件├── rabbitmq-docker/     # 消息队列├── postgres-docker/     # 数据库├── nginx-docker/        # 反向代理├── hasura-docker/       # GraphQL引擎├── grafana-docker/      # 监控面板├── prometheus-docker/   # 指标收集└── jupyter-docker/      # Jupyter笔记本

核心架构（最独特）：

• • 不是C2，是C2平台/框架
• • Docker Compose编排10+容器
• • 插件化Agent架构： Mythic本身不包含Agent，Agent是独立项目
• • Apollo（.NET）、Merlin（Go）、Poseidon（Go）、Medusa（Python）等
• • 通信： RabbitMQ消息队列连接各组件
• • 数据库： PostgreSQL + Hasura GraphQL
• • 前端： React SPA

扩展机制（最佳）：

• • 写一个Agent只需要实现Mythic的接口协议
• • 支持任何语言的Agent
• • Agent通过RabbitMQ与Mythic通信
• • 完整的API和Webhook

代码质量：⭐7/10

• • Docker编排复杂
• • 文档分散
• • 但架构设计思想一流

学习价值：⭐9/10

• • 重点学： 插件化架构设计思想
• • 适合谁： 想自己开发C2 Agent的人、架构设计学习者
• • 场景： 基于Mythic写自己的Agent = 最快路径

🥈 Tier 2：特色/垂直场景

4. Pupy（n1nj4sec/pupy）⭐9.0k

语言组成： Python 87% / C 11% | 总文件：677

目录结构：

pupy/├── client/          # 客户端（被控端）│   ├── sources-linux-py3/   # Linux agent源码│   ├── sources-windows-py3/ # Windows agent源码│   └── android_sources/     # Android agent├── pupy/            # 服务端│   ├── modules/     # 100+后渗透模块│   ├── commands/    # CLI命令│   ├── network/     # 通信层│   └── pupylib/     # 核心库└── services/        # 外部服务

核心架构：

• • 跨平台最强： Windows / Linux / macOS / Android 全平台
• • Python Agent = 高度可定制，运行时动态加载模块
• • 通过反射式加载将Python解释器嵌入目标进程
• • 支持多种传输协议

特色：

• • Python模块可以在目标上动态导入
• • 类似Meterpreter但更灵活
• • Android支持=独一无二

代码质量：⭐6/10

• • ⚠️ 2024年3月停更
• • 代码风格较旧（Python 2/3混合痕迹）
• • 但模块丰富度极高

学习价值：⭐7/10

• • 重点学： 跨平台Agent设计、Python嵌入技术
• • 适合谁： Python安全开发者、移动安全研究者

5. Merlin（Ne0nd0g/merlin）⭐5.6k

语言组成： Go 98% | 总文件：201（极精简）

目录结构：

merlin/├── main.go          # 入口├── pkg/             # 核心包│   ├── agents/      # Agent管理│   ├── listeners/   # 监听器│   ├── modules/     # 功能模块│   ├── servers/     # 服务端│   ├── rpc/         # RPC接口│   └── opaque/      # OPAQUE认证协议└── data/            # 数据文件

核心架构：

• • 唯一专注HTTP/2的C2
• • Server和Agent都是纯Go
• • HTTP/2 = 天然加密+多路复用+难以检测
• • OPAQUE协议做身份认证（密码认证密钥交换）

代码质量：⭐9/10

• • 代码极其精简（201个文件）
• • 结构清晰，Go惯用写法
• • 作者Russel Van Tuyl是安全研究人员

学习价值：⭐8/10

• • 重点学： HTTP/2协议级规避、OPAQUE认证
• • 适合谁： 想学协议层C2设计的人、Go语言学习者
• • 代码量小=一天能读完

6. Covenant（cobbr/Covenant）⭐4.7k

语言组成： C# 30% / JavaScript 65% | 总文件：1008

目录结构：

Covenant/└── Covenant/    ├── Controllers/  # MVC控制器    ├── Models/       # 数据模型    ├── Core/         # 核心逻辑    ├── Hubs/         # SignalR实时通信    ├── Pages/        # Razor页面    └── wwwroot/      # 前端资源

核心架构：

• • ASP.NET Core MVC = Web UI管理
• • SignalR = 实时WebSocket通信
• • Grunt = Agent代号
• • .NET Framework = Windows原生支持

特色：

• • Web UI最完善的C2
• • .NET生态=内网横向天然优势
• • 协作功能好（多操作员）

代码质量：⭐7/10

• • ⚠️ 2024年7月停更
• • .NET Core 3.1（较旧）
• • 但代码规范，MVC结构清晰

学习价值：⭐6/10

• • 重点学： .NET C2设计模式、ASP.NET MVC安全应用
• • 适合谁： .NET开发者、内网渗透学习者
• • 停更了=参考价值>实战价值

7. Villain（t3l3machus/Villain）⭐4.4k

语言组成： Python 93% | 总文件：71（极小）

目录结构：

Villain/├── Villain.py       # 入口（单文件主程序）├── Core/            # 核心逻辑│   ├── settings.py  # 配置│   ├── common.py    # 通用工具│   └── logging.py   # 日志├── requirements.txt└── Usage_Guide.md

核心架构：

• • 不是完整C2，是Shell管理增强器
• • 接管reverse TCP shell + HoaxShell shell
• • Stage 0/1级别=初始访问阶段
• • 多操作员可通过TCP共享session

特色：

• • 极轻量（71个文件）
• • 可以接管其他工具生成的shell
• • 自带文件走私（File Smuggler）
• • 自动增强shell功能（upgrade）

代码质量：⭐7/10

• • 单文件架构=简单直接
• • Python风格良好

学习价值：⭐5/10

• • 重点学： Shell管理、session共享机制
• • 适合谁： 快速搭建C2实验室、shell升级学习
• • 代码量小=半天读完

8. Nebula（gl4ssesbo1/Nebula）⭐631

语言组成： Python 93% / Go 5% | 总文件：339

目录结构：

Nebula/├── teamserver/      # 服务端│   ├── core/│   │   ├── Agents/       # Agent管理│   │   ├── Listeners/    # 监听器│   │   ├── auth/         # 认证│   │   ├── database/     # 数据库│   │   └── module/       # 功能模块│   │       ├── aws_template.py     # AWS操作│   │       ├── detectionbypass/    # 检测绕过│   │       ├── enum/               # 枚举│   │       ├── exploit/            # 利用│   │       ├── initialaccess/      # 初始访问（钓鱼）│   │       ├── lateralmovement/    # 横向移动│   │       ├── persistence/        # 持久化│   │       ├── postexploitation/   # 后渗透│   │       ├── privesc/            # 提权│   │       └── reconnaissance/     # 侦察│   └── teamserver.py├── client/          # CLI客户端└── clientGUI/       # GUI客户端

核心架构：

• • 云安全C2 — 专注AWS/Azure/GCP
• • 模块化设计=按攻击阶段组织
• • 内置钓鱼模块（initialaccess/__do_phishing/）
• • RBAC权限控制

特色：

• • 唯一专注云环境的C2
• • 模块分类清晰（按ATT&CK矩阵）
• • 支持Docker部署

代码质量：⭐6/10

• • Python代码可读性好
• • 但有些模块还在开发中
• • 社区较小

学习价值：⭐7/10

• • 重点学： 云环境攻击链设计、ATT&CK模块化思路
• • 适合谁： 云安全红队、AWS/Azure攻防研究

🚀 Tier 3：新兴/Rust系

9. malefic（chainreactors/malefic）⭐256

语言组成： Rust 89% / C 7% | 总文件：1110

目录结构：

malefic/├── malefic/              # 主Implant入口├── malefic-modules/      # 功能模块├── malefic-crates/       # 核心crates│   ├── crypto/           # 加密│   ├── transport/        # 传输层│   ├── evader/           # 规避引擎│   │   ├── anti_emu.rs       # 反模拟器│   │   ├── anti_forensic.rs  # 反取证│   │   ├── api_untangle.rs   # API混淆│   │   ├── cfg_patch.rs      # CFG绕过│   │   ├── etw_pass.rs       # ETW绕过│   │   ├── sandbox.rs        # 反沙箱│   │   ├── sleep_encrypt.rs  # Sleep加密│   │   └── vm.rs             # 反虚拟机│   ├── loader/           # 加载器│   ├── srdi/             # sRDI反射式DLL注入│   ├── dga/              # 域生成算法│   ├── guardrail/        # 执行守卫│   └── gateway/          # 网关代理├── malefic-mutant/       # 变异/混淆├── malefic-pulse/        # 心跳/调度├── malefic-starship/     # 服务端├── malefic-prelude/      # Prelude集成└── malefic-proxydll/     # 代理DLL

核心架构：

• • IoM（Implant over Module）架构 = 模块化Implant
• • Rust Agent = 内存安全+体积小+性能高
• • 模块化设计=按需加载功能模块
• • malefic-mutant = 二进制变异/混淆引擎

规避技术（最前沿）：

• • evader/ 包含12+反检测模块
• • anti_emu = BOAZ反模拟器移植
• • cfg_patch = 控制流防护绕过
• • etw_pass = ETW日志绕过
• • sleep_encrypt = 内存Sleep时加密
• • srdi = 反射式DLL注入（Rust实现）
• • guardrail = 环境检查后才执行

代码质量：⭐8/10

• • Rust惯用写法，模块划分优秀
• • Workspace管理30+crate
• • 国人项目 chainreactors，2026-05活跃更新
• • 有中文文档

学习价值：⭐9/10

• • 重点学： Rust写Agent的最佳实践、现代规避技术合集
• • 适合谁： Rust开发者、想学最前沿规避技术的人、国人社区交流
• • 特别有价值： 国内团队，可以交流学习

10. malice-network（chainreactors/malice-network）⭐454

语言组成： Go 99% | 总文件：1245

目录结构：

malice-network/├── server/          # 服务端│   ├── internal/    # 内部包│   ├── listener/    # 监听器│   ├── rpc/         # RPC接口│   └── root/        # 根命令├── client/          # 客户端│   ├── command/     # 命令实现│   ├── core/        # 核心功能│   ├── plugin/      # 插件系统│   │   ├── lua.go       # Lua脚本插件│   │   ├── yaegi.go     # Go解释器插件│   │   └── schema.go    # 插件Schema│   └── repl/        # 交互式CLI├── helper/          # 辅助工具├── scripts/         # 脚本└── docs/            # 文档

核心架构：

• • 与malefic配套的C2基础设施
• • malefic是Agent，malice-network是Server
• • Go写的服务端 + TUI客户端
• • 双插件系统： Lua脚本 + Yaegi（Go解释器）
• • Charm Bubbletea TUI = 现代终端UI

特色：

• • 插件系统最灵活（Lua + Go脚本）
• • 与malefic深度集成
• • 国人项目，中文文档

代码质量：⭐7/10

• • Go代码规范
• • 2026-06-09还在更新
• • 文档较新但还在完善

学习价值：⭐7/10

• • 重点学： C2服务端设计、插件系统架构
• • 适合谁： Go开发者、想理解C2 Server端设计的人

11. Wyrm（0xflux/Wyrm）⭐495

语言组成： Rust 98% | 总文件：212

目录结构：

Wyrm/├── c2/             # C2服务端├── client/         # 客户端├── implant/        # 植入体│   └── src/│       ├── anti_sandbox/  # 反沙箱│       │   ├── amsi.rs    # AMSI绕过│       │   ├── etw.rs     # ETW绕过│       │   ├── memory.rs  # 内存检查│       │   ├── trig.rs    # 触发条件│       │   └── veh.rs     # VEH反调试│       ├── evasion/       # 规避模块│       ├── execute/       # 命令执行│       ├── spawn_inject/  # 进程注入│       ├── native/        # 原生API调用│       └── wofs/          # 自定义文件系统├── loader/         # 加载器├── shared/         # 共享库└── shared_no_std/  # no_std共享库

核心架构：

• • 纯Rust全栈C2（Server+Client+Implant+Loader）
• • shared_no_std/ = 嵌入式友好（不依赖标准库）
• • 自定义文件系统 wofs = 隐蔽存储
• • Nginx反向代理支持

规避技术：

• • AMSI绕过（anti_sandbox/amsi.rs）
• • ETW补丁（anti_sandbox/etw.rs）
• • 物理内存验证（检查RAM大小判断沙箱）
• • VEH异常处理反调试
• • Sleep加密

代码质量：⭐8/10

• • Rust代码质量好
• • 模块划分清晰
• • 2026-03更新

学习价值：⭐8/10

• • 重点学： 纯Rust C2完整实现、no_std嵌入技巧
• • 适合谁： Rust开发者、想从零理解完整C2的人
• • 代码量适中=一周能读完

12. redamon（samugit83/redamon）⭐1.9k

语言组成： Python 40% / TypeScript 33% / TSX 22% | 总文件：1631

目录结构：

redamon/├── agentic/            # AI Agent核心│   ├── orchestrator.py # ReAct编排器（LangGraph）│   ├── state.py        # 状态管理│   └── tools/          # 工具管理├── recon/              # 侦察模块├── recon_orchestrator/ # 侦察编排├── webapp/             # Web前端（React/TS）├── graph_db/           # Neo4j图数据库├── knowledge_base/     # 知识库├── mcp/                # MCP协议集成├── baddns_scan/        # DNS扫描├── gvm_scan/           # OpenVAS扫描├── trufflehog_scan/    # 密钥泄露扫描├── github_secret_hunt/ # GitHub密钥狩猎├── tests/              # 测试└── community-skills/   # 社区技能

核心架构（完全不同）：

• • 不是传统C2，是AI驱动的红队自动化平台
• • 基于LangGraph的ReAct Agent编排
• • LLM决策 → 工具调用 → 结果分析 → 下一步
• • MCP协议集成 = 连接任意安全工具
• • Neo4j图数据库 = 攻击面知识图谱

特色：

• • AI Agent自动完成侦察→利用→后渗透全链路
• • 工具集成：Shodan / Google Dork / Neo4j / MCP
• • Key Rotation = LLM API密钥轮换
• • Web UI管理界面
• • 社区技能市场

代码质量：⭐7/10

• • Python + TypeScript混合
• • LangGraph使用规范
• • 2026-06活跃更新

学习价值：⭐8/10

• • 重点学： AI Agent在安全领域的应用、LangGraph编排
• • 适合谁： AI+安全交叉方向研究者、自动化红队

📊 总览对比

架构模式对比

学习路径推荐

🔍 阶段1：入门理解（1-2周）→ 读 Villain（71文件，半天）→ 理解Shell管理→ 读 Merlin（201文件，2天）→ 理解Go C2基本结构

🏗️ 阶段2：架构深入（2-4周）→ 读 Sliver（重点：protobuf/目录，理解完整C2架构）→ 读 Mythic（重点：Docker编排和插件接口设计）

⚔️ 阶段3：规避技术（4-8周）→ 读 Havoc Demon（重点：C代码注入/COFF/反调试）→ 读 malefic evader（重点：Rust实现的12+规避模块）

🚀 阶段4：前沿方向（持续）→ 读 redamon（AI Agent + 安全）→ 读 malefic + malice-network（国人项目ChainReactor，可社区交流）