乐于分享
好东西不私藏

AI 免杀技术套件 v4.0 绕过主流杀软和 EDR 检测 ( AV Evasion Skill)

AI 免杀技术套件 v4.0 绕过主流杀软和 EDR 检测 ( AV Evasion Skill)

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全设为星标”,否则可能就看不到了啦!

工具介绍

一套完整的免杀解决方案,涵盖 Shellcode 处理与 Loader 编写,结合 IPv4 混淆、XOR 加密、Module Stomping、Fiber 执行、间接 Syscall 等技术,用于绕过主流杀软和 EDR 检测。

AI 免杀技术套件 v4.0 是一套完整的 Shellcode 免杀解决方案。采用 Module Stomping 技术将 Shellcode 注入合法微软签名 DLL 的代码段执行,配合 IPv4 地址混淆、XOR 加密、HeapAlloc 堆分配、Fiber 执行等隐匿策略,从静态签名和行为分析两个维度绕过主流杀软和 EDR 检测。

核心特性

Shellcode 处理

  • ✅ Shellcode Patch:同义指令替换 + 花指令注入,破坏静态特征码
  • ✅ XOR 加密:自定义密钥,加密后数据与随机数据不可区分
  • ✅ IPv4 地址混淆:将 Shellcode 伪装成 IPv4 地址数组,无字节序问题

Loader 免杀技术

  • ✅ Module Stomping:覆写合法微软签名 DLL 的 .text 段,零 VirtualAlloc 执行内存
  • ✅ HeapAlloc 解密缓冲:使用堆分配而非 VirtualAlloc,行为与正常应用一致
  • ✅ RW→RX 内存权限翻转:VirtualProtect 作用于签名 DLL 内存,非匿名页
  • ✅ Fiber 执行:CreateFiber + SwitchToFiber,非 CreateThread
  • ✅ 回调备用执行:EnumSystemLocalesW 回调路径
  • ✅ 零显式反沙箱:不查 CPU、内存、VM 进程等(检测行为本身即特征)
  • ✅ 零系统指纹:不调 GetUserNameW、GetComputerName 等
  • ✅ 手动 IPv4 解析:不用 sscanf,减少 CRT 导入特征
  • ✅ DLL 分离加载:Loader 不含敏感数据,静态免杀更优
  • ✅ 无窗口静默:-mwindows 编译为 GUI 程序

快速开始

环境要求

  • 操作系统:Windows 10/11 (x64)
  • Python:3.8+
  • 编译器:GCC (MinGW-w64)
  • Shellcode:64 位原始 Shellcode

一键处理 Shellcode

# 将你的 shellcode 放到 scripts 目录下cp your_shellcode.bin scripts/shellcode_raw.bincd scripts/# 步骤1: Patch Shellcodepython shellcode-patch.py shellcode_raw.bin# 步骤2: XOR 加密python shellcode-encrypt.py shellcode_patched.bin "你的密钥"# 步骤3: IPv4 混淆python shellcode-obfuscate-ipv4.py shellcode_encrypted.bin

使用指南

唯一方案:DLL 分离加载 (loader_v4.c)

Loader 本身不含敏感数据,运行时动态加载 helper.dll 获取 IPv4 数组和密钥。

  1. 查看生成的 shellcode_obfuscated_ipv4.c 中的 IPv4 数组
  2. 将 IPv4 数组复制到 payload_dll.c 的 ipv4_array[]
  3. 将加密密钥填入 payload_dll.c 的 GetEncryptionKey() 返回值
  4. Loader 代码无需修改(已内置完整 Module Stomping 逻辑)

优势:

  • 静态免杀:Loader 不含 Shellcode 特征
  • 灵活性:更换 Shellcode 只需重新编译 DLL
  • 行为隐匿:Module Stomping 避开 VirtualAlloc 执行内存检测

版本历史

V4.0 (2026-06-26) — 当前版本

  • 🆕 Module Stomping:覆写签名 DLL .text 段替代 VirtualAlloc 执行内存
  • 🆕 HeapAlloc 替代 VirtualAlloc 用于解密缓冲
  • 🔴 移除所有反沙箱检测(检测行为本身即特征)
  • 🔴 移除所有系统指纹查询
  • 🔴 移除 ETW Patch(Patch 行为也是特征)
  • 🆕 Fiber 执行 + EnumSystemLocalesW 回调备用
  • 🆕 手动 IPv4 解析(零 sscanf 导入)
  • 🆕 导入 DLL 从 4 个减至 2 个

V3.0 (2026-06-07) — 行为隐匿版

  • RW→RX 分阶段内存 + 零反VM + ETW 绕过 + 回调执行

V2.1 (2026-04-05) — DLL 分离加载

  • DLL 分离方案 + 时间延迟检测

V2.0 (2026-04-04) — IPv4 混淆

  • IPv4 混淆替代 UUID + 6 层反沙箱 + Syscall 绕过

V1.0 — 初始版本

  • UUID 混淆 + 基础反沙箱

工具获取

点击关注下方名片进入公众号

回复关键字【260702】获取下载链接

往期精彩

ARL-Next 灯塔二开版 | 企业级自动化资产侦察与漏洞监控“灯塔”

2026-07-01

开源企业级主机与容器安全管理平台 | 安全基线、资产管理、漏洞扫描、病毒查杀、EDR 检测与合规审计

2026-06-30

一款针对Spring漏洞框架进行快速利用的图形化工具

2026-06-29

Cybersparker 攻击面管理利用系统

2026-06-26

LLM SecRange · 大模型攻防渗透测试靶场

2026-06-25