文章总结: 该文档介绍AI免杀技术套件v4.0,一套用于绕过主流杀软和EDR检测的Shellcode免杀解决方案。核心采用ModuleStomping将Shellcode注入签名DLL代码段,结合IPv4混淆、XOR加密、Fiber执行等隐匿策略,从静态签名和行为分析两个维度实现免杀。提供DLL分离加载方案,Loader不含敏感数据,静态免杀更优。工具需关注公众号获取下载链接。 综合评分: 75 文章分类: 恶意软件,红队,渗透测试
AI 免杀技术套件 v4.0 绕过主流杀软和 EDR 检测 ( AV Evasion Skill)
bluechips bluechips
夜组安全
2026年7月2日 07:30 青海
在小说阅读器读本章
去阅读
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
一套完整的免杀解决方案,涵盖 Shellcode 处理与 Loader 编写,结合 IPv4 混淆、XOR 加密、Module Stomping、Fiber 执行、间接 Syscall 等技术,用于绕过主流杀软和 EDR 检测。
AI 免杀技术套件 v4.0 是一套完整的 Shellcode 免杀解决方案。采用 Module Stomping 技术将 Shellcode 注入合法微软签名 DLL 的代码段执行,配合 IPv4 地址混淆、XOR 加密、HeapAlloc 堆分配、Fiber 执行等隐匿策略,从静态签名和行为分析两个维度绕过主流杀软和 EDR 检测。
核心特性
Shellcode 处理
- ✅ Shellcode Patch:同义指令替换 + 花指令注入,破坏静态特征码
- ✅ XOR 加密:自定义密钥,加密后数据与随机数据不可区分
- ✅ IPv4 地址混淆:将 Shellcode 伪装成 IPv4 地址数组,无字节序问题
Loader 免杀技术
- ✅ Module Stomping:覆写合法微软签名 DLL 的
.text段,零 VirtualAlloc 执行内存 - ✅ HeapAlloc 解密缓冲:使用堆分配而非 VirtualAlloc,行为与正常应用一致
- ✅ RW→RX 内存权限翻转:VirtualProtect 作用于签名 DLL 内存,非匿名页
- ✅ Fiber 执行:CreateFiber + SwitchToFiber,非 CreateThread
- ✅ 回调备用执行:EnumSystemLocalesW 回调路径
- ✅ 零显式反沙箱:不查 CPU、内存、VM 进程等(检测行为本身即特征)
- ✅ 零系统指纹:不调 GetUserNameW、GetComputerName 等
- ✅ 手动 IPv4 解析:不用 sscanf,减少 CRT 导入特征
- ✅ DLL 分离加载:Loader 不含敏感数据,静态免杀更优
- ✅ 无窗口静默:-mwindows 编译为 GUI 程序
快速开始
环境要求
- 操作系统:Windows 10/11 (x64)
- Python:3.8+
- 编译器:GCC (MinGW-w64)
- Shellcode:64 位原始 Shellcode
一键处理 Shellcode
# 将你的 shellcode 放到 scripts 目录下
cp your_shellcode.bin scripts/shellcode_raw.bin
cd scripts/
# 步骤1: Patch Shellcode
python shellcode-patch.py shellcode_raw.bin
# 步骤2: XOR 加密
python shellcode-encrypt.py shellcode_patched.bin "你的密钥"
# 步骤3: IPv4 混淆
python shellcode-obfuscate-ipv4.py shellcode_encrypted.bin
使用指南
唯一方案:DLL 分离加载 (loader_v4.c)
Loader 本身不含敏感数据,运行时动态加载 helper.dll 获取 IPv4 数组和密钥。
- 查看生成的
shellcode_obfuscated_ipv4.c中的 IPv4 数组 - 将 IPv4 数组复制到
payload_dll.c的ipv4_array[] - 将加密密钥填入
payload_dll.c的GetEncryptionKey()返回值 - Loader 代码无需修改(已内置完整 Module Stomping 逻辑)
优势:
- 静态免杀:Loader 不含 Shellcode 特征
- 灵活性:更换 Shellcode 只需重新编译 DLL
- 行为隐匿:Module Stomping 避开 VirtualAlloc 执行内存检测
版本历史
V4.0 (2026-06-26) — 当前版本
- 🆕 Module Stomping:覆写签名 DLL .text 段替代 VirtualAlloc 执行内存
- 🆕 HeapAlloc 替代 VirtualAlloc 用于解密缓冲
- 🔴 移除所有反沙箱检测(检测行为本身即特征)
- 🔴 移除所有系统指纹查询
- 🔴 移除 ETW Patch(Patch 行为也是特征)
- 🆕 Fiber 执行 + EnumSystemLocalesW 回调备用
- 🆕 手动 IPv4 解析(零 sscanf 导入)
- 🆕 导入 DLL 从 4 个减至 2 个
V3.0 (2026-06-07) — 行为隐匿版
- RW→RX 分阶段内存 + 零反VM + ETW 绕过 + 回调执行
V2.1 (2026-04-05) — DLL 分离加载
- DLL 分离方案 + 时间延迟检测
V2.0 (2026-04-04) — IPv4 混淆
- IPv4 混淆替代 UUID + 6 层反沙箱 + Syscall 绕过
V1.0 — 初始版本
- UUID 混淆 + 基础反沙箱
工具获取
点击关注下方名片进入公众号
回复关键字【260702】获取下载链接
往期精彩
[ARL-Next 灯塔二开版 | 企业级自动化资产侦察与漏洞监控“灯塔”
2026-07-01
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497167&idx=1&sn=04dd960d58a33a3411a26d4b54459bc0&scene=21#wechatredirect)[开源企业级主机与容器安全管理平台 | 安全基线、资产管理、漏洞扫描、病毒查杀、EDR 检测与合规审计
2026-06-30
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497162&idx=1&sn=774dcb6cc88a2d5a34bb0830a09d7ed5&scene=21#wechatredirect)[一款针对Spring漏洞框架进行快速利用的图形化工具
2026-06-29
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497150&idx=1&sn=7c61498269bf756cb7458a57f4b0c830&scene=21#wechatredirect)[Cybersparker 攻击面管理利用系统
2026-06-26
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497140&idx=1&sn=a7a4a46aa3ac30c9fa272db02d9be953&scene=21#wechatredirect)[LLM SecRange · 大模型攻防渗透测试靶场
2026-06-25
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497129&idx=1&sn=d3dd59233be71fa4c0d3ed5743399f42&scene=21#wechatredirect)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:夜组安全 bluechips bluechips《AI 免杀技术套件 v4.0 绕过主流杀软和 EDR 检测 ( AV Evasion Skill)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论