2026-03-12 22:33:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了一种绕过360核晶与卡巴斯基的免杀加载框架。通过动态API解析与SSN提取实现零IAT依赖，利用间接系统调用与双视图内存分配规避内存扫描。结合分散写入对抗脏页跟踪，运用APC注入与行为混淆系统打破线性特征，有效规避现代EDR检测，具备高阶对抗实战价值。 综合评分： 80 文章分类： 免杀,红队,二进制安全,安全工具

cover_image

免杀 – – 360核晶、卡巴斯基绕过

原创

数字幽灵安全团队数字幽灵安全团队

数字幽灵安全团队

2026年3月12日 14:26 吉林

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与作者无关！！！

前言：近期将以前的免杀方案重新测试，发现针对卡巴斯基的对抗已失效。于是从零开始，手搓了一套全新的Windows原生加载，基本上大部分技术都是大佬们用烂的。本文分享技术思路，仅供安全研究参考。

先看效果

我的免杀有反虚拟机功能，有的虚拟机运行并不会上线!

360主机开核晶状态

卡巴斯基企业版

项目获取

私信回复：免杀

项目定位

纯C++/ASM实现的Windows原生加载框架，从零构建、不依赖CRT，针对现代EDR（终端检测与响应）环境的高阶对抗技术。

一、动态API解析系统（零IAT依赖）

核心机制

遍历PEB → LDR链 → 模块哈希比对 → 导出表哈希解析

转发导出处理

自动追踪如 ntdll.RtlExitUserThread → kernel32.ExitThread 的转发导出，确保函数地址始终有效。

二、FreshyCalls：动态SSN提取

| 痛点 | 方案 | | — | — | | 硬编码SSN导致版本兼容性灾难 | 运行时扫描ntdll导出表 | | 易被静态签名检测 | 建立Nt*函数地址→哈希映射表 |

关键洞察：Windows系统调用表按RVA升序排列，排序后的索引即为实时SSN。

三、间接系统调用存根

四、双视图内存分配

核心创新：同一物理内存的RW/RX双映射，消除VirtualProtect行为标记优势：传统VirtualAlloc→Write→VirtualProtect产生明显的”写入后执行”行为链，双视图通过分离写入视图与执行视图，使监控工具无法关联两者。

五、分散写入技术（ScatterWrite）

对抗目标：HVCI脏页跟踪、ETW MemoryAccessFault、沙箱内存访问模式分析 实现机制

数据分割为16字节块
Fisher-Yates洗牌算法随机化写入顺序
块间插入 __rdtsc() 或 RandNext() 易失性读

效果：脏页时间线非单调，破坏”单次大写入”特征

六、虚拟机执行层（VM Dispatcher）

设计动机：传统线性调用链 ReadFile→Decrypt→Alloc→Copy→Exec 产生静态CFG签名

安全特性

10个语义操作码驱动完整生命周期
处理器指针数组全程XOR加密
单一时点仅当前操作解密有效

七、APC注入路径

解决痛点：NtCreateThreadEx异常起始地址的IOC问题

跳板结构（12字节）：

mov rax, <shellcode> &nbsp; ; 48 B8 xx xx xx xx xx xx xx xx
jmp rax &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;; FF E0

八、行为混淆系统

增强型延迟

随机分段（3-7段）
段间插入真实OS调用：VirtualQuery、QueryPerformanceCounter
替代纯NtDelayExecution的单一睡眠签名

运行时混淆库

冒泡排序（20元素数组）
4×4矩阵乘法
斐波那契计算
素数检测
随机缓冲区填充

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数字幽灵安全团队数字幽灵安全团队数字幽灵安全团队《免杀 – – 360核晶、卡巴斯基绕过》