Что это такое?
Beatrice.py — утилита на Python для замены машинного кода x64 инструкций на альтернативные, чтобы обойти сигнатурные детекции (YARA, антивирусы).
Проект / Python
raskolnikov90/Beatrice.py: Beatrice.py — модификация машинного кода x64 для обхода антивирусов
Обходите YARA-правила и антивирусы, автоматически заменяя опкоды в бинарниках на альтернативные.
Проект представляет собой утилиту на Python для изменения машинного кода в бинарных файлах (x64) с целью обхода антивирусных детекторов, основанных на сигнатурах (YARA) и некоторых поведенческих анализах. Инструмент автоматически подбирает альтернативные...
Для кого это
Для специалистов по безопасности, пентестеров и исследователей, которые хотят изменить машинный код исполняемых файлов для обхода сигнатурных детекций.
Проблема / задача
Антивирусы и YARA-правила часто ищут конкретные байтовые последовательности, что позволяет легко детектировать вредоносное ПО. Ручная замена опкодов — трудоёмкая и подверженная ошибкам задача.
Как это работает
Beatrice.py анализирует машинный код в секциях PE-файлов или сырых бинарниках x64, находит команды ассемблера, для которых есть функционально эквивалентные альтернативы того же размера, и заменяет их. Инструмент не трогает строки, импорты и вызовы API, сохраняя функциональность. Для ассемблирования и дизассемблирования используются Keystone Engine и Capstone, а для работы с PE-форматом — pefile.
Что видно по README
Проект представляет собой утилиту на Python для изменения машинного кода в бинарных файлах (x64) с целью обхода антивирусных детекторов, основанных на сигнатурах (YARA) и некоторых поведенческих анализах. Инструмент автоматически подбирает альтернативные опкоды одинакового размера и заменяет их, не изменяя остальные части бинарника. Он не является универсальным решением, но в сочетании с другими техниками (например,...
Ключевые возможности
Технологии
Интересный факт
Разработчик протестировал инструмент на реальных C2-фреймворках (Havoc, Sliver, Metasploit) и опубликовал результаты в README — например, Havoc с дефолтным профилем обошел Defender.
С чего начать
- Установите зависимости: pip install keystone-engine pefile capstone
- Запустите: python3 beatrice.py -h для справки по флагам
- Затем: python3 beatrice.py <имя_файла> -v (verbose) или -s (safe mode) для обработки
Оценка GitRadar
Удобство
6/10
Свежесть
6/10
Перспектива
6/10
Монетизация
4/10
Общая оценка
6/10
Вердикт GitRadar
Проект интересен и полезен как часть пайплайна для обфускации машинного кода. Однако он не обеспечивает полного сокрытия (строки, импорты, поведенческий анализ остаются). Стоит попробовать, если вы работаете с red teaming или хотите изучить техники смены опкодов. Но не стоит полагаться только на него.
Наблюдения по обновлениям
Проект имеет 12 звезд, 1 форк, 0 issues. Последние тесты датированы апрелем 2026 (возможно опечатка). Активность низкая, но репозиторий не заброшен.
Что мы проверили
Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.
- Исходный репозиторий
- https://github.com/raskolnikov90/Beatrice.py
- Создан на GitHub
- 16 апреля 2026 г.
- Последнее обновление репо
- 16 апреля 2026 г.
- Последняя проверка GitRadar
- 16 апреля 2026 г.
- Изученные файлы
- README.md, requirements.txt, beatrice.py
FAQ
Для кого подходит?
Для пентестеров, разработчиков вредоносного ПО и исследователей безопасности, которые хотят изменить опкоды в бинарниках без поломки функциональности.
Источники
Нужна помощь с raskolnikov90/Beatrice.py?
Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.