文章总结: 本文档详细介绍了win-offensive-dev免杀技能2.0的完整系统,该系统从零构建了15个技术参考模块,并新增了/malfuzz、/reverse、/edrfuzz、/sandboxfuzz和/vt等核心命令。关键功能包括基于9维度技术池的Loader批量生成、EDR感知加权算法、自动化静态与动态分析流水线、EDR检测特征沉淀以及反沙箱指纹采集。文档提供了具体的使用语法、示例和项目结构,旨在为授权红队评估、安全研发和攻防演练提供高效的自动化免杀与对抗能力。 综合评分: 89 文章分类: 恶意软件,免杀,红队,安全工具,实战经验
全新免杀skills:AI自主分析对抗杀软、沙箱!!!
原创
信益安研究院 信益安研究院
信益安信息安全研究院
2026年5月11日 17:28 湖北
在小说阅读器读本章
去阅读
首席信息安全技术官Jason Tian:
OSCE3(OSEP、OSWE、OSED)、OSCP、CISSP持证者,主要负责安全研究方向包括EDR终端对抗,二进制漏洞挖掘,Opsec后渗透武器库开发以及红队自顶至下技战术研究。参与境外APT组织研究与对抗,涉诈等黑灰产产业链追踪溯源,多单位内部红队培训特聘讲师。
Win-Offensive-Dev: 免杀 skill2.0 介绍
信益安信息安全研究院出品 | XinYiAn Security Research Institute 适用场景:授权红队评估、安全研发、攻防演练、内部教学实验
更新说明
之前发布的原始版本是一个纯知识库型 Skill,仅包含技术分类索引和代码风格规范,没有任何命令,没有参考文件目录,没有工具链,也没有自动化能力。新版从零重建的完整系统。
1. 主知识库从零构建
原版没有任何技术参考文件。新版构建了完整的 15 个技术参考模块,涵盖:
- • 核心文件:
execution.md、persistence.md、networking.md、reflective_loading.md、token_privilege.md、lateral_movement.md、enumeration.md、syscalls.md、memory_evasion.md、defense_evasion.md、process_manipulation.md、iat_hiding.md、credential_access.md - • 自动化命令文件:
malfuzz.md(技术池与模板)、reverse_analysis.md(分析流程与检测规则)
新增技术方向:UAC Bypass系列技术、syscall系列技术、加载/执行技术、加密方式
OPSEC 元数据标准化:每个技术条目均包含检测风险评级、Sysmon Event ID、ETW Provider、EDR Hook 点、缓解建议
2. 全新的 /malfuzz 命令
9维度技术池(相比旧版知识库中的简单描述,新版实现了完整的随机组合引擎):
完整验证流程:calc.bin 初始验证(10 秒轮询) → 编译后约束自动验证(strings64/sigcheck64/IAT 解析) → 真实 shellcode 替换重新编译 → 签名掠夺。
批次多样性评分:计算 pairwise Hamming distance,覆盖率不足时自动提示重生成。
EDR 感知加权算法:指定 target:<edr_name> 时,从已有 EDR profile 读取历史数据,对已验证通过的技术组合加权(bypassed=3 / untested=2 / detected=0)。
3. 全新的 /reverse 命令
构建完整的恶意软件静态 + 动态分析流水线,分五个阶段:
Phase 1 — 静态分析
Phase 2 — 动态分析
Phase 3 — 持久化检查
Phase 4 — 报告生成
Phase 5 — 自动增强
4. 全新的 /edrfuzz 命令
从零构建了 EDR 检测特征沉淀系统,解决测试经验散落在聊天记录、截图、临时文档里难以复用的问题。
交互流程:自动扫描最近 fuzz_output_* 目录 → 列出本次生成的 loader → 用户输入未被检测到的编号 → 指定 EDR 名称 → 自动分析绕过/检测的技术共性 → 保存到 edr_profiles/<edr_name>/profile.md。
Profile 记录:已验证通过的技术组合、已验证被检的技术组合、检测趋势变化(按时间记录)、下一轮推荐生成方向。
5. 全新的 /sandboxfuzz 命令
沙箱指纹采集与分析工具,用于生成针对性的反沙箱检测代码
6. 全新的 /vt 命令
VirusTotal API 自动化分析与自动增强:
7. 项目结构完善
- • 新增
SysinternalsSuite/工具目录(strings64 / sigcheck64 / Procmon64 / Listdlls64 / handle64 / pipelist64 / autorunsc64 / procexp64) - • 新增
edr_profiles/EDR 知识库(含某绒 100% 绕过案例) - • 新增
sandboxfuzz_output/沙箱指纹输出目录
项目目录结构
win-offensive-dev_2.1/
├── .claude/
│ └── skills/
│ ├── win-offensive-dev/ # 主知识库 Skill(自动触发)
│ ├── malfuzz/ # /malfuzz 批量生成
│ ├── reverse/ # /reverse 分析评估
│ ├── edrfuzz/ # /edrfuzz 结果沉淀
│ ├── sandboxfuzz/ # /sandboxfuzz 沙箱指纹采集
│ └── vt/ # /vt VirusTotal 分析
├── references/ # 技术参考文件(15 个模块)
│ ├── execution.md # 加载与执行方式
│ ├── iat_hiding.md # API 隐藏
│ ├── syscalls.md # 系统调用
│ ├── defense_evasion.md # 防御规避
│ ├── memory_evasion.md # 内存逃逸
│ ├── process_manipulation.md # 进程操作
│ ├── credential_access.md # 凭据访问
│ ├── persistence.md # 持久化机制
│ ├── networking.md # C2 通信
│ ├── reflective_loading.md # 反射加载
│ ├── token_privilege.md # 令牌与权限
│ ├── lateral_movement.md # 横向移动
│ ├── enumeration.md # 主机与网络枚举
│ ├── malfuzz.md # /malfuzz 技术池与模板
│ └── reverse_analysis.md # /reverse 分析流程
├── edr_profiles/ # EDR 检测画像知识库
│ ├── README.md
│ └── huorong/
│ └── profile.md # 某绒 100% 绕过记录
├── sandbox_profiles/ # 沙箱指纹画像(自动生成)
├── sandboxfuzz_output/ # 沙箱指纹收集输出
├── fuzz_output_*/ # 每次生成的样本、源码、报告
├── SysinternalsSuite/ # Sysinternals 分析工具集
├── calc.bin # 验证用载荷(x64 calc shellcode)
├── agent.x64.bin # 真实测试载荷
├── test_syscall.obj # Syscall 测试目标
├── loader_0*.obj # 真实生成的 loader 目标文件
├── sandbox_info*.txt # 真实沙箱环境指纹
├── sandbox_report_*.md # 沙箱分析报告
├── vt_config.json # VirusTotal API Key 配置
├── SKILL.md # 主 Skill(兼容旧版加载)
└── README.md
加载方式
Skills 通过 .claude/skills/ 目录自动加载,无需手动注册。进入项目目录后启动 Claude Code 即可:
cd C:\Users\你的用户名\Downloads\win-offensive-dev
claude
启动后输入 /,即可看到可用命令:
/malfuzz、/reverse、/edrfuzz、/sandboxfuzz、/vt。
核心命令一:/malfuzz 批量生成 Loader
/malfuzz 是这套 Skills 里最直观的命令。它根据指定语言、数量和测试载荷,批量生成多个不同形态的 loader,并自动完成编译、验证、替换真实载荷的完整流程。
语法
/malfuzz <语言> <数量> <shellcode路径> [sign] [sandbox] ["描述"]
| 参数 | 说明 |
| — | — |
| 语言 | C、C++ 或 Rust |
| 数量 | 生成 loader 的数量(建议 3-10) |
| shellcode路径 | .bin 文件路径,支持相对或绝对路径 |
| sign | 可选,启用签名掠夺(复制合法 EXE 的签名/图标/版本信息) |
| sandbox | 可选,启用反沙箱 + 反调试技术 |
| 描述 | 可选,用引号包裹,指定技术偏好或目标 EDR |
使用示例
# 基础生成
/malfuzz C++ 5 ./payload.bin
# 带签名掠夺
/malfuzz C++ 5 ./payload.bin sign
# 全套:签名 + 反沙箱
/malfuzz C 8 ./payload.bin sign sandbox
# 指定目标 EDR
/malfuzz C++ 5 ./payload.bin sign sandbox "target:defender"
# 指定技术偏好
/malfuzz C++ 3 ./payload.bin "只用callback执行,不要fiber"
# Rust 版本
/malfuzz Rust 4 ./payload.bin sandbox
技术组合维度(9 个维度)
每个 loader 从 9 个维度随机选取技术,保证批次内多样性:
执行流程
1. 生成阶段:使用 calc.bin 作为 payload 生成所有 loader 源码并编译
2. 编译后约束验证:strings64 检查敏感字符串,sigcheck64 检查熵值,IAT 解析验证
→ 违反约束则自动修复源码并重新编译
3. 自动验证:逐个运行 EXE,轮询检测 calc.exe 进程(每秒检测,最多 10 秒)
- 检测到 calc.exe → 验证通过,自动 kill
- 未检测到 / 提前退出 → 报告失败原因,提供修复
4. 替换阶段:验证通过的 loader 自动替换为真实 shellcode,重新加密编译
5. 签名掠夺(sign 选项):从系统合法 EXE 复制 Authenticode 签名
6. 生成每个 loader 的技术说明文档 + README.md 汇总(含多样性评分)
输出结构示例
fuzz_output_20260510_000000/
├── README.md # 汇总表格 + 多样性评分
├── common/
│ └── peb_resolve.h # 共享 PEB walk 头文件
├── loader_01_tpwait_xorbf_uuid.cpp # 源码
├── loader_01_tpwait_xorbf_uuid.exe # 编译产物(含签名)
├── loader_01.md # 技术说明
├── loader_02_geo_cha20_mac.cpp
├── loader_02_cha20_mac.exe
├── loader_02.md
├── loader_03_fiber_aes_ipv4.cpp
├── loader_03_fiber_aes_ipv4.exe
├── loader_03.md
├── payload_uuids.inc # UUID 编码载荷(loader_01)
├── payload_macs.inc # MAC 编码载荷(loader_02)
└── payload_ips.inc # IPv4 编码载荷(loader_03)
实际生成示例
以 target:huorong 为目标,生成 3 个 C loader 的结果:
某绒实际测试结果:100% 绕过率,批次多样性评分:0.78
核心命令二:/reverse 自动分析 EXE
生成样本之后,下一步是分析检测面。/reverse 对单个 EXE 或整个目录里的 EXE 进行静态 + 动态分析,输出 Markdown 报告,并可根据报告自动提出增强方案。
语法
/reverse <exe路径|文件夹路径>
使用示例
# 分析单个 EXE
/reverse ./fuzz_output_20260510_000000/loader_01_tpwait_xorbf_uuid.exe
# 分析整个输出目录
/reverse ./fuzz_output_20260510_000000/
# 分析任意路径
/reverse C:\tools\my_implant.exe
分析流程(四个阶段 + 持久化检查)
Phase 1 — 静态分析
- •
strings64.exe双趟扫描:提取可读字符串,检查敏感 API/DLL 名泄露 - •
sigcheck64.exe:检查签名状态、计算熵值、读取版本信息 - • PE 导入表解析
- • 计算熵值
Phase 2 — 动态分析
- •
Procmon64.exe:自动启动监控 → 运行目标 EXE → 捕获行为 → 导出 CSV 分析 - •
Listdlls64.exe:DLL 枚举,检查异常 DLL 加载(非 System32、未签名) - •
handle64.exe:句柄分析,检查跨进程句柄(注入指标) - •
pipelist64.exe:命名管道扫描,执行前后 diff 新增管道
Phase 3 — 持久化检查
- •
autorunsc64.exe:执行前后 diff,覆盖 Run 键/IFEO/COM 劫持/服务/计划任务/WMI/AppInit/Winlogon
Phase 4 — 报告生成
- • 每个 EXE 生成独立的 Markdown 分析报告
- • 每项检查标记 PASS / FAIL / WARNING
- • 计算整体风险评分(LOW / MEDIUM / HIGH)
Phase 5 — 自动增强
- • 如果发现问题(FAIL),自动映射到修复方案
- • 进入 plan mode 展示具体代码修改建议
- • 用户确认后自动修复、重新编译、再次分析
核心命令三:/edrfuzz 记录 EDR 测试结果
/edrfuzz 解决的是测试经验沉淀问题。它把测试结果结构化保存,形成可持续增长的 EDR 知识库。
语法
/edrfuzz [EDR名称]
使用示例
# 交互式记录
/edrfuzz
# 指定 EDR
/edrfuzz Defender
/edrfuzz 360
/edrfuzz huorong
知识库结构
每个 EDR 的 profile 记录:
- • 已验证通过的技术组合(可复用)
- • 已验证被检的技术组合(需规避)
- • 检测趋势变化(按时间记录)
- • 下一轮生成的推荐方向
核心命令四:/sandboxfuzz 沙箱指纹采集(全新)
自动收集目标沙箱环境指纹,生成针对性的反沙箱检测代码。
语法
/sandboxfuzz 生成 VBS 收集脚本 + 本地测试
/sandboxfuzz analyze <url> 分析 temp.sh 链接中的沙箱指纹
/sandboxfuzz <sandbox_name> 生成脚本并预设沙箱名称
VBS 收集内容
- • 系统标识:计算机名、用户名、域、OS 版本、MachineGuid、BIOS 序列号
- • 硬件信息:CPU 型号/核心数、RAM 大小、磁盘型号/容量/剩余空间、屏幕分辨率
- • 网络环境:MAC 地址、IP 地址、适配器名称
- • 运行环境:时区、locale、系统运行时长、进程列表
- • 用户活动:Recent 文件数、Desktop 文件数、Documents 文件数、常用软件是否存在(Chrome/Office/Edge/Firefox)
- • 已安装软件:HKLM 注册表程序列表
分析与输出
-
1. 解析 temp.sh 上传结果,识别 VM 指标、用户名黑名单、进程数、运行时长、分辨率、RAM 等特征
-
2. 生成
sandbox_profiles/<name>/profile.md,含每项特征的沙箱指标评估 -
3. 直接生成可在 loader 中使用的 C 语言 anti-sandbox 检测代码片段
-
- 最终ai分析修改后效果:
核心命令五:/vt VirusTotal 分析(全新)
自动上传 EXE 到 VirusTotal,获取检测结果后自动映射到源码修复方案。
语法
/vt 交互模式:询问 API key + 选择 EXE
/vt <exe路径> 直接分析指定 EXE
/vt <文件夹路径> 分析文件夹中所有 EXE
/vt report <sha256|url> 查询已有 VT 报告
分析与修复流程
-
1. 上传 EXE → 每 15 秒轮询分析状态(最多 10 分钟)
-
2. 读取检测统计、引擎详情、VT Tags、威胁分类、沙箱行为
-
3. 根据 Detection → Fix 映射表确定修复方案(
detect-debug-environment→ 减少反调试检查等) -
4. 基于检测率的优化策略(0/70 → 完美;1-5/70 → 微调;6-15/70 → 中度;16-30/70 → 重度;30+/70 → 重构)
-
5. 用户确认后自动修改源码、重新编译
-
推荐工作流
把五个命令串起来,完整流程如下:
1. /sandboxfuzz
在目标沙箱执行 VBS 收集脚本,获取 temp.sh 链接
2. /sandboxfuzz analyze <url>
分析沙箱指纹,生成针对性的 anti-sandbox profile 和检测代码
3. /malfuzz C++ 5 ./payload.bin sign sandbox "target:huorong"
生成一批 loader,EDR-aware 模式自动参考已有知识库
(sandbox profile 中的阈值被自动用于反沙箱检测)
4. /reverse ./fuzz_output_*/
对这批 loader 做静态 + 动态 + 持久化检测面分析
5. /vt ./fuzz_output_*/
上传样本到 VirusTotal,获取多引擎检测结果
6. 根据 /reverse 和 /vt 报告做二次加强
针对 FAIL / WARNING 项和 VT Tags 映射的方案继续优化
7. 在授权测试环境中验证
只在隔离、授权的测试环境中运行样本,记录真实检测结果
8. /edrfuzz huorong
记录哪些样本通过测试,哪些没有通过
9. 更新 edr_profiles 知识库
成功经验写入对应 EDR 画像,失败共性记录为下一轮规避点
10. 下一轮 /malfuzz
基于已有知识库再次生成,更有针对性地减少重复试错
这就是这套 Skills 的核心价值:不是单次生成,而是持续迭代;不是人工盲试,而是越用越有经验。
感兴趣的师傅可以加入我们的纷传获取:
使用边界说明
- • 仅限授权环境下的安全测试与研究
- • 建议在隔离虚拟机或实验环境中运行生成产物
- • 不建议在公开文章、公开课程中披露具体绕过组合和底层实现细节
- • 本文只展示产品功能和命令使用方式,不提供真实攻击流程
安全研发的目的,是帮助团队理解攻击路径、验证防御能力、提升检测和响应质量,而不是制造不可控风险。
信益安信息安全研究院出品 | XinYiAn Security Research Institute
最后
🌟感谢您看到这里,您的支持与关注,是我们持续输出内容的最大动力
🌟欢迎加入我们的交流群
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:信益安信息安全研究院 信益安研究院 信益安研究院《全新免杀skills:AI自主分析对抗杀软、沙箱!!!》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论