Win-Offensive-Dev： 免杀 skill2.0 介绍

信益安信息安全研究院出品 | XinYiAn Security Research Institute适用场景：授权红队评估、安全研发、攻防演练、内部教学实验

更新说明

之前发布的原始版本是一个纯知识库型 Skill，仅包含技术分类索引和代码风格规范，没有任何命令，没有参考文件目录，没有工具链，也没有自动化能力。新版从零重建的完整系统。

1. 主知识库从零构建

原版没有任何技术参考文件。新版构建了完整的 15 个技术参考模块，涵盖：

• • 核心文件：execution.md、persistence.md、networking.md、reflective_loading.md、token_privilege.md、lateral_movement.md、enumeration.md、syscalls.md、memory_evasion.md、defense_evasion.md、process_manipulation.md、iat_hiding.md、credential_access.md
• • 自动化命令文件：malfuzz.md（技术池与模板）、reverse_analysis.md（分析流程与检测规则）

新增技术方向：UAC Bypass系列技术、syscall系列技术、加载/执行技术、加密方式

OPSEC 元数据标准化：每个技术条目均包含检测风险评级、Sysmon Event ID、ETW Provider、EDR Hook 点、缓解建议

2. 全新的 /malfuzz 命令

9维度技术池（相比旧版知识库中的简单描述，新版实现了完整的随机组合引擎）：

完整验证流程：calc.bin 初始验证（10 秒轮询） → 编译后约束自动验证（strings64/sigcheck64/IAT 解析） → 真实 shellcode 替换重新编译 → 签名掠夺。

批次多样性评分：计算 pairwise Hamming distance，覆盖率不足时自动提示重生成。

EDR 感知加权算法：指定 target:<edr_name> 时，从已有 EDR profile 读取历史数据，对已验证通过的技术组合加权（bypassed=3 / untested=2 / detected=0）。

3. 全新的 /reverse 命令

构建完整的恶意软件静态 + 动态分析流水线，分五个阶段：

Phase 1 — 静态分析

Phase 2 — 动态分析

Phase 3 — 持久化检查

Phase 4 — 报告生成

Phase 5 — 自动增强

4. 全新的 /edrfuzz 命令

从零构建了 EDR 检测特征沉淀系统，解决测试经验散落在聊天记录、截图、临时文档里难以复用的问题。

交互流程：自动扫描最近 fuzz_output_* 目录 → 列出本次生成的 loader → 用户输入未被检测到的编号 → 指定 EDR 名称 → 自动分析绕过/检测的技术共性 → 保存到 edr_profiles/<edr_name>/profile.md。

Profile 记录：已验证通过的技术组合、已验证被检的技术组合、检测趋势变化（按时间记录）、下一轮推荐生成方向。

5. 全新的 /sandboxfuzz 命令

沙箱指纹采集与分析工具，用于生成针对性的反沙箱检测代码

6. 全新的 /vt 命令

VirusTotal API 自动化分析与自动增强：

7. 项目结构完善

• • 新增 SysinternalsSuite/ 工具目录（strings64 / sigcheck64 / Procmon64 / Listdlls64 / handle64 / pipelist64 / autorunsc64 / procexp64）
• • 新增 edr_profiles/ EDR 知识库（含某绒 100% 绕过案例）
• • 新增 sandboxfuzz_output/ 沙箱指纹输出目录

项目目录结构

win-offensive-dev_2.1/├── .claude/│   └── skills/│       ├── win-offensive-dev/   # 主知识库 Skill（自动触发）│       ├── malfuzz/             # /malfuzz 批量生成│       ├── reverse/              # /reverse 分析评估│       ├── edrfuzz/             # /edrfuzz 结果沉淀│       ├── sandboxfuzz/         # /sandboxfuzz 沙箱指纹采集│       └── vt/                  # /vt VirusTotal 分析├── references/                  # 技术参考文件（15 个模块）│   ├── execution.md             # 加载与执行方式│   ├── iat_hiding.md           # API 隐藏│   ├── syscalls.md             # 系统调用│   ├── defense_evasion.md      # 防御规避│   ├── memory_evasion.md        # 内存逃逸│   ├── process_manipulation.md  # 进程操作│   ├── credential_access.md     # 凭据访问│   ├── persistence.md           # 持久化机制│   ├── networking.md            # C2 通信│   ├── reflective_loading.md    # 反射加载│   ├── token_privilege.md       # 令牌与权限│   ├── lateral_movement.md      # 横向移动│   ├── enumeration.md           # 主机与网络枚举│   ├── malfuzz.md              # /malfuzz 技术池与模板│   └── reverse_analysis.md     # /reverse 分析流程├── edr_profiles/                # EDR 检测画像知识库│   ├── README.md│   └── huorong/│       └── profile.md          # 某绒 100% 绕过记录├── sandbox_profiles/            # 沙箱指纹画像（自动生成）├── sandboxfuzz_output/          # 沙箱指纹收集输出├── fuzz_output_*/               # 每次生成的样本、源码、报告├── SysinternalsSuite/           # Sysinternals 分析工具集├── calc.bin                     # 验证用载荷（x64 calc shellcode）├── agent.x64.bin                # 真实测试载荷├── test_syscall.obj             # Syscall 测试目标├── loader_0*.obj                # 真实生成的 loader 目标文件├── sandbox_info*.txt            # 真实沙箱环境指纹├── sandbox_report_*.md          # 沙箱分析报告├── vt_config.json               # VirusTotal API Key 配置├── SKILL.md                     # 主 Skill（兼容旧版加载）└── README.md

加载方式

Skills 通过 .claude/skills/ 目录自动加载，无需手动注册。进入项目目录后启动 Claude Code 即可：

cd C:\Users\你的用户名\Downloads\win-offensive-devclaude

启动后输入 /，即可看到可用命令：

/malfuzz、/reverse、/edrfuzz、/sandboxfuzz、/vt。

核心命令一：/malfuzz 批量生成 Loader

/malfuzz 是这套 Skills 里最直观的命令。它根据指定语言、数量和测试载荷，批量生成多个不同形态的 loader，并自动完成编译、验证、替换真实载荷的完整流程。

语法

/malfuzz <语言> <数量> <shellcode路径> [sign] [sandbox] ["描述"]

使用示例

# 基础生成/malfuzz C++ 5 ./payload.bin# 带签名掠夺/malfuzz C++ 5 ./payload.bin sign# 全套：签名 + 反沙箱/malfuzz C 8 ./payload.bin sign sandbox# 指定目标 EDR/malfuzz C++ 5 ./payload.bin sign sandbox "target:defender"# 指定技术偏好/malfuzz C++ 3 ./payload.bin "只用callback执行，不要fiber"# Rust 版本/malfuzz Rust 4 ./payload.bin sandbox

技术组合维度（9 个维度）

每个 loader 从 9 个维度随机选取技术，保证批次内多样性：

执行流程

1. 生成阶段：使用 calc.bin 作为 payload 生成所有 loader 源码并编译2. 编译后约束验证：strings64 检查敏感字符串，sigcheck64 检查熵值，IAT 解析验证   → 违反约束则自动修复源码并重新编译3. 自动验证：逐个运行 EXE，轮询检测 calc.exe 进程（每秒检测，最多 10 秒）   - 检测到 calc.exe → 验证通过，自动 kill   - 未检测到 / 提前退出 → 报告失败原因，提供修复4. 替换阶段：验证通过的 loader 自动替换为真实 shellcode，重新加密编译5. 签名掠夺（sign 选项）：从系统合法 EXE 复制 Authenticode 签名6. 生成每个 loader 的技术说明文档 + README.md 汇总（含多样性评分）

输出结构示例

fuzz_output_20260510_000000/├── README.md                          # 汇总表格 + 多样性评分├── common/│   └── peb_resolve.h                  # 共享 PEB walk 头文件├── loader_01_tpwait_xorbf_uuid.cpp    # 源码├── loader_01_tpwait_xorbf_uuid.exe    # 编译产物（含签名）├── loader_01.md                       # 技术说明├── loader_02_geo_cha20_mac.cpp├── loader_02_cha20_mac.exe├── loader_02.md├── loader_03_fiber_aes_ipv4.cpp├── loader_03_fiber_aes_ipv4.exe├── loader_03.md├── payload_uuids.inc                  # UUID 编码载荷（loader_01）├── payload_macs.inc                   # MAC 编码载荷（loader_02）└── payload_ips.inc                    # IPv4 编码载荷（loader_03）

实际生成示例

以 target:huorong 为目标，生成 3 个 C loader 的结果：

某绒实际测试结果：100% 绕过率，批次多样性评分：0.78

核心命令二：/reverse 自动分析 EXE

生成样本之后，下一步是分析检测面。/reverse 对单个 EXE 或整个目录里的 EXE 进行静态 + 动态分析，输出 Markdown 报告，并可根据报告自动提出增强方案。

语法

/reverse <exe路径|文件夹路径>

使用示例

# 分析单个 EXE/reverse ./fuzz_output_20260510_000000/loader_01_tpwait_xorbf_uuid.exe# 分析整个输出目录/reverse ./fuzz_output_20260510_000000/# 分析任意路径/reverse C:\tools\my_implant.exe

分析流程（四个阶段 + 持久化检查）

核心命令三：/edrfuzz 记录 EDR 测试结果

/edrfuzz 解决的是测试经验沉淀问题。它把测试结果结构化保存，形成可持续增长的 EDR 知识库。

语法

/edrfuzz [EDR名称]

使用示例

# 交互式记录/edrfuzz# 指定 EDR/edrfuzz Defender/edrfuzz 360/edrfuzz huorong

知识库结构

每个 EDR 的 profile 记录：

• • 已验证通过的技术组合（可复用）
• • 已验证被检的技术组合（需规避）
• • 检测趋势变化（按时间记录）
• • 下一轮生成的推荐方向

核心命令四：/sandboxfuzz 沙箱指纹采集（全新）

自动收集目标沙箱环境指纹，生成针对性的反沙箱检测代码。

语法

/sandboxfuzz                    生成 VBS 收集脚本 + 本地测试/sandboxfuzz analyze <url>      分析 temp.sh 链接中的沙箱指纹/sandboxfuzz <sandbox_name>     生成脚本并预设沙箱名称

VBS 收集内容

• • 系统标识：计算机名、用户名、域、OS 版本、MachineGuid、BIOS 序列号
• • 硬件信息：CPU 型号/核心数、RAM 大小、磁盘型号/容量/剩余空间、屏幕分辨率
• • 网络环境：MAC 地址、IP 地址、适配器名称
• • 运行环境：时区、locale、系统运行时长、进程列表
• • 用户活动：Recent 文件数、Desktop 文件数、Documents 文件数、常用软件是否存在（Chrome/Office/Edge/Firefox）
• • 已安装软件：HKLM 注册表程序列表

分析与输出

1. 1. 解析 temp.sh 上传结果，识别 VM 指标、用户名黑名单、进程数、运行时长、分辨率、RAM 等特征
2. 2. 生成 sandbox_profiles/<name>/profile.md，含每项特征的沙箱指标评估
3. 3. 直接生成可在 loader 中使用的 C 语言 anti-sandbox 检测代码片段

1. 最终ai分析修改后效果：
3. 

核心命令五：/vt VirusTotal 分析（全新）

自动上传 EXE 到 VirusTotal，获取检测结果后自动映射到源码修复方案。

语法

/vt                           交互模式：询问 API key + 选择 EXE/vt <exe路径>                  直接分析指定 EXE/vt <文件夹路径>               分析文件夹中所有 EXE/vt report <sha256|url>       查询已有 VT 报告

分析与修复流程

1. 1. 上传 EXE → 每 15 秒轮询分析状态（最多 10 分钟）
2. 2. 读取检测统计、引擎详情、VT Tags、威胁分类、沙箱行为
3. 3. 根据 Detection → Fix 映射表确定修复方案（detect-debug-environment → 减少反调试检查等）
4. 4. 基于检测率的优化策略（0/70 → 完美；1-5/70 → 微调；6-15/70 → 中度；16-30/70 → 重度；30+/70 → 重构）
5. 5. 用户确认后自动修改源码、重新编译
6. 
   

推荐工作流

把五个命令串起来，完整流程如下：

1. /sandboxfuzz   在目标沙箱执行 VBS 收集脚本，获取 temp.sh 链接2. /sandboxfuzz analyze <url>   分析沙箱指纹，生成针对性的 anti-sandbox profile 和检测代码3. /malfuzz C++ 5 ./payload.bin sign sandbox "target:huorong"   生成一批 loader，EDR-aware 模式自动参考已有知识库   （sandbox profile 中的阈值被自动用于反沙箱检测）4. /reverse ./fuzz_output_*/   对这批 loader 做静态 + 动态 + 持久化检测面分析5. /vt ./fuzz_output_*/   上传样本到 VirusTotal，获取多引擎检测结果6. 根据 /reverse 和 /vt 报告做二次加强   针对 FAIL / WARNING 项和 VT Tags 映射的方案继续优化7. 在授权测试环境中验证   只在隔离、授权的测试环境中运行样本，记录真实检测结果8. /edrfuzz huorong   记录哪些样本通过测试，哪些没有通过9. 更新 edr_profiles 知识库   成功经验写入对应 EDR 画像，失败共性记录为下一轮规避点10. 下一轮 /malfuzz    基于已有知识库再次生成，更有针对性地减少重复试错

这就是这套 Skills 的核心价值：不是单次生成，而是持续迭代；不是人工盲试，而是越用越有经验。

感兴趣的师傅可以加入我们的纷传获取：

使用边界说明

• • 仅限授权环境下的安全测试与研究
• • 建议在隔离虚拟机或实验环境中运行生成产物
• • 不建议在公开文章、公开课程中披露具体绕过组合和底层实现细节
• • 本文只展示产品功能和命令使用方式，不提供真实攻击流程

安全研发的目的，是帮助团队理解攻击路径、验证防御能力、提升检测和响应质量，而不是制造不可控风险。

信益安信息安全研究院出品 | XinYiAn Security Research Institute