🛡️ Anti-Anti-Virus

免杀技术资源集 · AV/EDR Evasion Arsenal

📌 持续收录免杀项目、辅助工具与技术文章，助力红队攻防研究。

📖 目录

- 🔫 免杀项目

- 🧰 辅助工具

- 调试与逆向

- Shellcode 工具

- PE 操作与混淆

- 签名与伪装

- 检测与对抗

- C2 相关

- 其他辅助

- 📚 技术文章

- 免杀综合

- Shellcode 开发

- 内存与进程

- EDR/AV 对抗

- PE Patch 技术

- 钓鱼与社工

- 其他技术

- 📈 Star History

- 📝 更新日志

- ⚠️ 免责声明

🔫 免杀项目

图例 — ✅ 可免杀 · ❌ 无法免杀 · ➖ 未测试

| # | 项目 | 简介 | Defender | 火绒 | 360 | 卡巴斯基 | 测试时间 | 备注 |
|:-:|:—–|:—–|:——–:|:—-:|:—:|:——-:|:——–:|:—–|
| 1 | JoJoLoader | Rust 实现一键生成免杀木马 | ❌ | ✅ | ❌ | ✅ | 07-08 | |
| 2 | S-inject | DLL + Shellcode 注入免杀工具 | ➖ | ➖ | ➖ | ➖ | | 需搭配其他技巧灵活使用 |
| 3 | RingQ | 一键免杀上线 CS / fscan / mimikatz | ❌ | ✅ | ✅ | ❌ | 07-09 | create.exe 未开源 |
| 4 | No_X_Memory_ShellCode_Loader | 无可执行权限加载 ShellCode | ➖ | ➖ | ➖ | ➖ | | 非直接生成免杀马 |
| 5 | dataBrawl | Shellcode 免杀框架 | ➖ | ➖ | ➖ | ➖ | | 活动期间暂停，已删核心 template |
| 6 | GoBypassAV | Go 语言自动化随机加解密免杀 | ❌ | ❌ | ➖ | ➖ | 04-16 | 未开源；执行报错 |
| 7 | ApexLdr | 纯 C 代码 DLL 载荷加载器 | ➖ | ➖ | ➖ | ➖ | | 开源，makefile 构建 |
| 8 | BinarySpy | 手动/自动 Patch Shellcode 到二进制文件 | ➖ | ➖ | ➖ | ➖ | 08-08 | 免杀依赖 shellcode |
| 9 | BinHol | 三种方式在 PE 中插入恶意代码 | ➖ | ➖ | ➖ | ➖ | 08-08 | 免杀依赖 shellcode |
| 10 | BypassA | 基于 PE Patch 的后渗透免杀工具 (x64) | ➖ | ➖ | ➖ | ➖ | 08-08 | 未开源，无操作说明 |
| 11 | go-bypass-loader | Go 实现 Shellcode 免杀加载器 | ➖ | ✅ | ✅ | ➖ | 08-06 | 作者自述 |
| 12 | PECracker | PE 文件分离式免杀对抗工具 | ✅ | ➖ | ✅ | ➖ | 08-13 | 未开源，作者自述 |

🧰 辅助工具

绝大部分无法直接生成免杀木马，但在开发、测试免杀时不可或缺。

调试与逆向

工具	概述	来源
x64dbg 中文版	x64/x32 调试器	52pojie
吾爱破解专用版 Ollydbg	经典 x86 调试器	52pojie
pestudio	查看文件熵值等信息，逆向分析	官网
StudyPE+	PE 文件查看/分析 (x86 & x64)	看雪
CFF Explorer	PE 文件编辑器	看雪
Process Hacker 2	进程查看与分析	官网
Dependencies	DLL 依赖分析	GitHub
Dependencies.AheadLib.Plugin	Dependencies 导出函数增强插件	看雪

Shellcode 工具

工具	概述	链接
hellshell	官方加密/混淆 Shellcode	GitLab
hellshell 网络版	增强功能版本	GitHub
sgn	二进制编码免杀 Shellcode	GitHub
pe2shc	PE 转 Shellcode	GitHub
pengcode	EXE 转 Shellcode	GitHub
ShellcodeCompiler	C/C++ 编译为位置独立 Shellcode	GitHub
shellen	交互式 Shellcoding 环境	GitHub
CppDevShellcode	使用 Visual Studio 开发 Shellcode	GitHub
Clematis	PE (EXE/DLL) 转 Shellcode	GitHub
obj2shellcode	Shellcode 生成框架	GitHub

PE 操作与混淆

工具	概述	链接
Alcatraz	x64 二进制混淆器	GitHub
deoptimizer	Shellcode 反优化 (Rust)	GitHub
RAT_Obfuscator	EXE / BOF / Shellcode 混淆器	GitHub
shoggoth	Shellcode 静态混淆	GitHub
SharpIncrease	二进制填充逃避 AV	GitHub
垃圾代码生成器	降低熵值的垃圾代码生成	GitHub
codasm	数据编码为伪 ASM 指令	GitHub

签名与伪装

工具	概述	链接
SigThief	签名撕取与移植	GitHub
SigFlip	修补 Authenticode 签名而不破坏	GitHub
Resource Hacker	资源编辑器	官网
Restorator 2018	伪造图标	sqlsec
BeCyIconGrabber	图标提取	sqlsec
ChangeTimestamp	更改文件时间戳	–

检测与对抗

工具	概述	链接
BeaconEye	扫描 CS 内存特征解析 Beacon Config	GitHub
Hunt-Sleeping-Beacons	睡眠状态 Beacon 识别	GitHub
hollows_hunter	进程空洞检测	GitHub
YARA	恶意软件分类工具	GitHub
Windows_Trojan_CobaltStrike.yar	Elastic 开源 CS 检测 YARA 规则	GitHub
MyCCL	复合特征码定位系统	–
DLLSpy	DLL 劫持检测	GitHub
saferwall	开源小型 VirusTotal	GitHub
checkpoint evasions	虚拟机/沙箱检测指标	官网

C2 相关

工具	概述	链接
SourcePoint	自生成 Malleable C2 Profile	GitHub
arsenal_kit	CS 武器库套件	Telegram
PushPlus2	CS 上线自动推送 & 截图	GitHub

其他辅助

工具	概述	链接
S-inject	DLL + Shellcode 注入免杀工具	GitHub
RingQ	免杀，EXE 转 Shellcode	GitHub
microwaveo	DLL/EXE 转 Shellcode 输出 EXE	GitHub
GoDhijacking	快速识别可劫持程序	GitHub
BinHol	PE 二进制插入恶意代码 (三种方式)	GitHub
BinarySpy	Patch 白程序的工具	GitHub
DojoLoader	通用 PE 加载器 (快速原型)	GitHub
FetchPayloadFromDummyFile	偏移量数组构造有效载荷	GitHub
pconlife	下载不同版本 Windows 系统文件	官网
APT 时间线	记录 APT 钓鱼样本与思路	360

📚 技术文章

免杀综合

文章	关键词
免杀手法大总结（入门）	`入门`
免杀杂谈	`综合`
学习免杀的笔记汇总	`笔记`
免杀对抗	`合集`
红队技术 – 钓鱼手法及木马免杀技巧	`红队`
先锋马免杀分享	`实战`
AniYa-GUI 免杀框架	`框架`
助力 RT 队员快速生成免杀木马	`工具`
go 实现免杀 (实用思路篇)	`Go`
CS 学习笔记 – 杀毒软件	`CS`
rust 免杀方法记录	`Rust`
C++ 熵减法免杀 Mimikatz	`熵减`
动态生成 key 免杀	`动态Key`
免杀学习 – 从指令绕过开始 (2)	`指令`
shellcode-loader 汇总	`Loader`

Shellcode 开发

文章	关键词
Windows 下 Shellcode 编写详解	`入门`
Window 向之 x86 Shellcode 入门	`x86`
obj2shellcode — 前人的智慧与分享精神	`obj`
回调执行 Shellcode	`回调`
通过回调执行 Shellcode	`回调`
Shellcode 混淆加载器 — RecurLoader	`混淆`
混淆的文件或信息：二进制填充	`MITRE`

内存与进程

文章	关键词
基于 VEH + Sleep 免杀 CS	`VEH`
VEH 异常 (软件断点) Hook	`Hook`
借助 VEH 和汇编指令加密规避内存扫描 — Voidgate	`内存加密`
按需动态解密内存节区 — gimmick	`动态解密`
进程启动 & 断链	`断链`
COM 调用断链	`COM`
恶意 Windows 进程、线程异常状态识别	`检测`
x86 下借助回调函数以干净栈执行内存权限修改	`栈`
自定义反射 DLL 与注入器项目	`反射注入`
深入研究 PE 文件格式	`PE`
深入剖析 Window 内核 Secure Image 对象	`内核`

EDR/AV 对抗

文章	关键词
EDR 如何运作？防病毒保护机制详细分析	`原理`
EDR 对比	`对比`
EDRPrison — 借用合法 WFP 驱动程序静音 EDR	`驱动`
释放看不见的威胁：利用 CS 配置文件逃避 EDR	`CS Profile`
CobaltStrike 的狩猎与反狩猎	`狩猎`
Raising Beacons without UDRLs	`Sleep`
杀软 EDR 都没检出？银狐四大绕过手法	`银狐`
“银狐”变”隐狐” — 最新攻击透视	`银狐`
滥用 AV/EDR 排除来逃避检测	`排除`
规避 ETW 事件监控检测	`ETW`
绕过 PowerShell ScriptBlock 日志	`日志`
修改 PowerShell 配置文件永久关闭 AMSI 与 ETW	`AMSI`
自定义跳转函数的 Unhook 方法	`Unhook`
通过隐藏导入表规避杀软	`IAT`
Window Defender ASR 规则提取工具	`ASR`
禁用 Windows Defender 防篡改功能	`Defender`
攻击性 Windows IPC 内部原理 2：RPC	`RPC`

PE Patch 技术

文章	关键词
通杀检测基于白文件 Patch 黑代码的免杀技术	`检测`
记一次 Patch EXE 文件实现的静态免杀	`实战`
基于 Patch 免杀技术的自动化实现 VT0	`VT0`
通杀检测白文件 Patch 后门	`检测工具`

钓鱼与社工

文章	关键词
渐进式 Web 应用程序 (PWA) 网络钓鱼	`PWA`
PDF 文件点击下载木马	`PDF`
攻防演练 — 应急处置案例	`应急`

其他技术

文章	关键词
Windows Rootkit 与 Bootkit 技术列表	`Rootkit`
Bootkit 内核修补检测绕过	`Bootkit`
Windows 11 VBS Enclave 虚拟化保护技术	`VBS`
利用微软 Office 反沙箱	`沙箱`
BASE64 编码的 PE 文件总是以 T 开头	`编码`
BOF 及 CNA 插件开发初探	`BOF`
编写自己的 C# 混淆器	`混淆`
dirDevil — 在文件夹结构中隐藏代码	`隐藏`
40+43+74 种权限提升方法集合	`提权`
借助合法取证工具绕过 EDR 读取 NTDS.dit	`NTDS`
借助硬件断点提取明文 RDP 密码 — RdpStrike	`RDP`
File-Tunnel — 借助文件隧道打通 TCP 连接	`隧道`
Windows 更新降级暴露已修复漏洞	`降级`
CobaltStrike 4.9.10	`CS`
arsenal_kit 更新 — Sleepmask 编译混淆	`CS Kit`