文章总结： 本文介绍Windows平台C/C++与Rust进攻性安全开发知识库，聚焦免杀与绕过检测。核心涵盖Shellcode加载、远程注入、API解析与IAT隐藏、系统调用提取、进程操控、内存规避、ETW与AMSI绕过及凭据访问等模块。同时提供单文件嵌入模式生成无依赖单体可执行文件的流程，为红队开发提供高度可操作的实战参考。 综合评分： 87 文章分类： 免杀,安全开发,红队,二进制安全,实战经验

免杀skills分享 — win-offensive-dev （Windows 进攻性开发）

原创

信益安研究院 信益安研究院

信益安信息安全研究院

2026年4月3日 17:50 湖北

目录结构

#

各种技术随意搭配：

#

例子：

#

#

#

核心功能

定位：Windows 平台 C/C++ 与 Rust 进攻性安全工具开发完整知识库，聚焦免杀与绕过检测。

工作流程：

识别需求类型 → 读取对应 references/ 文件 → 生成代码 → 生成 README 汇总

主要技术模块：

| 模块 | 核心技术 | | — | — | | Shellcode 加载 | VirtualAlloc+CreateThread / Fiber / Callback / APC 自注入 / Early Bird | | 远程注入 | 经典注入、映射注入、进程镂空（Hollowing）、幽灵注入（Ghost） | | API 解析 & IAT 隐藏 | PEB Walk 自定义 GetModuleHandle；导出表遍历；Djb2/CRC32/Jenkins 哈希；编译期 constexpr 哈希；栈字符串/XOR 字符串/分发表 | | 系统调用 | 直接系统调用；SSN 提取；Hell’s Gate；间接系统调用（HellsHall）；NTDLL 脱钩（磁盘/KnownDlls/挂起进程） | | 进程操控 | 进程镂空/幽灵注入/Herpaderping；无线程注入（Threadless）；模块踩踏（Module Stomping）；PPID 欺骗；参数欺骗；BlockDLL | | 内存规避 | 睡眠混淆（Ekko/Zilean/Foliage）；PE 波动；堆加密；XOR/RC4/AES(BCrypt) 载荷加密 | | 防御规避 | ETW 绕过（字节修补/HBP/会话劫持）；AMSI 绕过；二进制元数据修改；熵值降低；CRT 移除；IAT 伪装 | | 凭据访问 | LSASS 转储（MiniDump/句柄复制/SilentProcessExit）；SAM 转储；Chrome/Firefox Cookie & 密码提取 |

单文件嵌入模式（单文件嵌入）：

1. 读取 .bin shellcode 文件
2. 生成随机 XOR 密钥（16~32 字节）
3. 加密 shellcode
4. 将加密字节 + 密钥嵌入 C/Rust 数组
5. 运行时解密 → 分配 → 执行
6. 输出无外部依赖的单体 .exe

代码规范：

• C/C++：MSVC 兼容，使用 windows.h / winternl.h / tlhelp32.h，默认对敏感 API 应用 IAT 隐藏
• Rust：windows-sys crate + unsafe FFI 块

最后

🌟感谢您看到这里，您的支持与关注，是我们持续输出内容的最大动力

🌟欢迎加入我们的交流群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信益安信息安全研究院 信益安研究院 信益安研究院《免杀skills分享 — win-offensive-dev （Windows 进攻性开发）》