文章总结： 文档介绍了免杀基础知识，包括语言选择、杀软特点、C2工具和加载器原理。推荐C/C++作为免杀入门首选语言，因其广泛应用和技术成熟。分析了常见杀软如火绒、360、WindowsDefender和卡巴斯基的查杀机制和特点，并提供了测试环境搭建建议。文章还解释了免杀加载器如何隐藏C2特征以实现免杀效果。 综合评分： 87 文章分类： 免杀,安全工具,漏洞分析,渗透测试,WEB安全

免杀入门教程及新手常见问题解答

原创

星夜AI安全

星夜AI安全

2025年12月20日 11:25 吉林

📌各位可以将公众号设为星标⭐

📌这样就不会错过每期的推荐内容啦~

📌这对我真的很重要！

📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流，仅供个人学习提升安全意识、了解防护手段，禁止用于任何违法活动，否则使用者自行承担法律后果。

📌2. 所分享内容及工具虽具普遍性，但因场景、版本、系统等因素，无法保证完全适用，使用者要自行承担知识运用不当、工具使用故障带来的损失。

📌3. 使用者在学习操作过程中务必遵守法规道德，面对有风险环节需谨慎预估后果、做好防护，若未谨慎操作引发信息泄露、设备损坏等不良后果，责任自负。

一、免杀基础知识

1. 免杀语言的选择

（1）常见免杀语言特点

常见的用于制作免杀的语言包括 C/C++、C#、Powershell、Python、Go、Rust 等：

C/C++： 使用最为广泛，也是制作免杀的首选语言。许多高级免杀技术均采用 C/C 实现，GitHub 上众多高星、优秀的免杀项目也大多基于 C/C 开发。

C#： 兼具 C++ 的性能与 Java 的易用性，通过 .NET 框架能够方便地调用各类 API，编写免杀程序相对简便。但基于 .NET 框架的语言也往往比其他语言更易被检测识别。

Powershell： 基于 .NET 框架的脚本语言，执行便捷，且可较容易地将 Powershell 脚本转换为 C# 程序。与 C# 类似，它也容易被检测，若使用 2.0 以上版本还需绕过 AMSI（反恶意软件扫描接口）。

Python： 语法简明，易于上手。很多初学免杀的新手因熟悉 Python 而选择从 Python 入手，但实际上使用 Python 编写免杀程序比 C/C 更为复杂。在 C/C 中可直接调用 Windows API，而 Python 需通过一层转换间接调用，且打包后的程序体积较大，报毒率也相对较高。

Go： 适合编写高性能网络应用，许多内网穿透工具和漏洞扫描工具（如 Frp、Fscan 等）均采用 Go 开发。学习 Go 语言免杀有助于对这些工具进行免杀处理。

Rust： 性能与 C/C++ 相当，代码结构清晰，但语法较为复杂，不太适合新手选择。

（2）免杀语言选择总结

总结而言，若想学好免杀，最好从 C/C 入手。使用 C/C 编写免杀代码并不要求特别精通，具备 C 语言基础即可。初期入门可能有一定难度，但之后会轻松许多，因为多数免杀技术的源代码都是基于 C/C++ 实现的。掌握免杀的关键在于能够读懂他人编写的代码。

掌握 C/C++ 免杀后，便能触类旁通，转向其他语言（如 PowerShell、Go 等）的免杀也相对容易，原理大同小异，都是通过调用 Windows API 实现。

Python 并不适合用于制作免杀，其编写复杂、体积庞大、报毒率高，仅适合作为兴趣尝试。

C# 和 PowerShell 值得学习，尤其在渗透环境中较为适用，但需注意 .NET 版本的兼容性。

Go 语言同样编写复杂，体积虽比 Python 小一些但仍偏大。不过，由于许多内网工具都采用 Go 编写，掌握 Go 后能够对这些工具进行免杀处理，因此值得投入学习。

Rust 本人未曾使用，但据较多反馈，其编写较为复杂，不过相比 C/C++ 在代码量增多时不易混乱，代码结构整洁且有一定技术格调。

2. 常见的杀软及其特点

（1）常见的杀软

杀毒软件，即 AV（Anti Virus，反病毒软件）。国内外常见的主流杀毒软件包括火绒、360、Windows Defender（Windows 安全中心，简称 WDF）、卡巴斯基、ESET、Norton（诺顿）、Symantec（赛门铁克）和 McAfee（麦咖啡）。

从整体来看，国外杀毒软件通常能力较强，国内杀毒软件相对偏弱，其中 360 在国内属于最强梯队。

国内常见的有火绒、360 和 Windows Defender；其他如 Norton 等虽不常见但偶尔也会遇到。此外还有一些小众杀毒软件，如电脑管家、金山毒霸等。

国外免杀项目我接触较少，目前遇到的主要是 Windows Defender 和卡巴斯基。

一般来说，如果能实现免杀火绒、360、Windows Defender 和卡巴斯基这四款杀毒软件，那么免杀其他杀毒软件通常也不会存在太大问题。

（2）常见杀软的组合

在一台 Windows 设备上，如果已经安装了杀毒软件，通常不会只安装一款，而是会同时搭配两到三款杀软使用。

国内常见的杀软组合包括：

• • 火绒 + 360

• • 火绒 + Windows Defender

• • Windows Defender + 360杀毒

（3）常见杀软特点总结

杀软一般通过以下几点来检测恶意软件和行为：

静态查杀：最基本的查杀方式，主要通过对文件的特征码进行扫描，匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配，就判断该文件为病毒。部分杀软会在静态查杀时将程序放入沙箱中运行几秒，以检测其是否为恶意程序。

动态（主动）查杀：通过在程序运行时扫描程序内存是否匹配病毒特征的方式，主动发现恶意程序。在 EDR 中还会挂钩敏感的 Windows API，当程序调用被挂钩的 API 时，检查函数参数和调用栈以检测恶意行为。

流量监控：监控网络流量，分析网络数据包。如果发现异常流量或已知的恶意流量特征，则可能表明恶意软件正在进行网络活动。

行为监控：监控程序的运行行为，如文件操作、注册表操作等。如果发现某个程序的行为超出正常范围，则可能判定其为恶意软件。

常见杀软特点如下：

火绒：静态查杀能力较弱，无动态查杀功能，横向移动防护较强，使用 frp 等内网穿透工具时可能受影响。 360安全卫士/360杀毒：静态查杀能力较强，无动态查杀；若开启核晶模式，则行为查杀能力较强，注入进程等敏感行为会被拦截。核晶模式在物理机中默认开启，在虚拟机中默认关闭。 360QVM：该引擎采用机器学习辅助查杀，在 360 杀毒引擎设置中开启后，静态查杀会变得较为敏感，稍有特征即可能被查杀。 Windows Defender：静态查杀能力较强，动态查杀能力亦较强，可监控 HTTP 流量。 卡巴斯基：普通版静态查杀能力一般，企业版静态查杀能力较强，动态查杀能力较强。 ESET：静态查杀能力较强，无动态查杀功能。

行为监控是杀毒软件的标配功能，因此，若无特殊之处，下文将不再单独列出。

按照静态查杀能力强弱排列如下：

火绒 < 360安全卫士、360杀毒、Windows Defender、卡巴斯基标准版 < 卡巴斯基企业版、ESET < 360QVM。

目前所见静态查杀能力最强的当属360QVM，甚至超过部分国外杀毒软件，可以说360QVM在查杀方面表现出色。

按照动态查杀能力强弱排列如下：

火绒、360、ESET < 卡巴斯基 < Windows Defender。

火绒、360、ESET 这几款软件不具备动态查杀功能。

行为查杀能力各有强弱，且难以直接比较，建议根据实际使用体验进行判断。

3. C2 状况简述

常见的 C2（命令与控制）工具包括 CS（CobaltStrike）、MSF（Metasploit）和 Ghost，而相对小众的 C2 则有 Supershell、Manjusaka 等，此外还存在一些个人独立开发的 C2。

CS 和 MSF 是目前使用最为广泛的远程控制工具。CS 功能丰富，提供图形化界面并支持多人协作，可以通过 c2profile 文件修改流量特征，但其对 Linux 系统的支持不够友好，且许多功能依赖于进程注入，容易被杀毒软件拦截。不过，通过加载 BOF 插件可以在一定程度上弥补这些不足。

MSF 模块丰富，具备命令行界面，支持平台较为全面，但对新手来说上手难度较高。

Ghost 是一款历史悠久的 Windows 远控工具，也被称为“大灰狼远控”。其功能相对简单，但由于采用图形界面，易于使用。自开源后，不断有开发者对其进行二次开发，其中最为成功的二次开发版本是“银狐远控”。由于 Ghost 使用简单、无需深厚技术基础，常被黑灰产业从业人员使用。建议在虚拟机中体验 Ghost，可以学习其源码，但不推荐将其用于实际项目。

由于 CS 和 MSF 使用广泛，已被各大杀毒软件标记了大量特征。在此基础上，涌现出许多小众 C2 及个人开发的 C2。这些工具对 CS 和 MSF 的特征进行了一定程度的优化和修补，具备更少的检测特征，因而拥有更好的免杀性能。

4. 免杀加载器原理

C2（Command & Control：命令与控制）通常指攻击者用于管理和控制僵尸网络或恶意软件的服务器。

加载器的实质是对 CS、MSF 等工具的特征进行隐藏，以实现免杀效果。在使用加载器对 CS 的 Shellcode 进行免杀时，通过 c2profile 隐藏流量特征，再借助加载器隐藏内存特征，那么即使存在大量已知特征标记，也能够顺利实现免杀，成功在 360、Windows Defender、卡巴斯基等杀软环境下上线。然而，在注入进程环节仍可能受到影响，因为加载器通常无法隐藏注入进程内存中的特征。不过，随着反射 DLL 注入技术的发展，该技术已能有效隐藏注入进程的内存特征。而 CS 支持用户自定义反射 DLL 注入方式，也在一定程度上弥补了这一不足。

当然，即便通过免杀加载器成功上线，在行为层面仍可能容易被检测和查杀。例如，执行命令时立即被拦截，这往往是由于加载器隐藏特征不彻底，导致内存泄露而被杀软扫描到。此类情况可通过内存修补来缓解。另一种情况则是触发了敏感行为，从而被主动拦截。高级加载器可在一定程度上修改 C2 行为，以避免杀软拦截，也可尝试更换行为特征更少的 C2 配置来解决该问题。

二、杀软测试环境

要测试免杀是否有效少不了安装杀软环境进行测试，这里讲了安装火绒、360卫士、360杀毒、wdf、卡巴斯基杀软环境的一些注意的点，安装其他杀软环境大同小异。

1. 安装杀软虚拟机测试环境

我习惯将火绒、360卫士、360杀毒放在一个虚拟机中，wdf 单独占用一个虚拟机，卡巴斯基也单独占用一个虚拟机。对于新手，可以将火绒和360卫士单独放在一个虚拟机中。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星夜AI安全 星夜AI安全《免杀入门教程及新手常见问题解答》