（绕过最新360、火绒）shellcode分离加载实现CS免杀上线

原创已于 2025-07-24 09:14:10 修改 · 551 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #免杀 #内网 #渗透测试

于 2025-07-23 18:58:18 首次发布

基于XOR加密的Shellcode加载器项目，通过内存解密执行实现基础免杀，包含C++加载器和Python加密脚本，可绕过常规静态检测。

项目地址：

https://github.com/tzyyyyyyy/shellcode_loader_bypass

绕过效果

截止时间为2025年7月23日

360安全卫士

火绒

腾讯电脑管家

联想电脑管家

文件结构

project/
├── bypass.cpp        # Shellcode 加载器
├── xor_encrypt.py    # Shellcode 加密工具
└── shellcode.bin     # 加密后的 Shellcode 文件（生成）

功能特性

XOR 加密：使用 0x5A 密钥加密 Shellcode
内存加载：直接在内存中解密并执行 Shellcode
简单易用：只需两个文件即可完成加解密和加载流程

使用说明

1. 加密 Shellcode

python xor_encrypt.py input.bin shellcode.bin

参数说明：

input.bin：原始 Shellcode 文件
shellcode.bin：输出加密后的文件

2. 编译加载器

使用 MinGW 编译：

g++ bypass.cpp -o loader.exe -static -mwindows -s -Os

编译选项说明：

-static：静态链接
-mwindows：隐藏控制台窗口
-s：移除符号表
-Os：优化大小

3. 运行加载器

将 shellcode.bin 与 loader.exe 放在同一目录下，直接运行：

loader.exe

技术细节

加载流程

读取加密的 shellcode.bin 文件
在内存中进行 XOR 解密
分配可执行内存
创建线程执行 Shellcode

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

tzyyyyyy

关注关注

7
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

【护网必备】Windows平台shellcode免杀加载器

Fly_鹏程万里

06-14

1036

bypass：McAfee、金山（数字签名）、火绒、ESET、卡巴企业版（时间5s 抖动50 Sleep_mask）、360全家桶（物理机）、Norton（加白程序资源）、WDF（PC）、WDF（Server）、Symantec（加白程序资源）bypass：金山（数字签名）、火绒、ESET、360全家桶（物理机）、WDF（PC）、WDF（服务器提示复查（关云保护））、McAfee、Norton（加白程序资源）、卡巴企业版（时间5s 抖动50 Sleep_mask）必须使用Bof操作，shell运行就掉线。

记一次Go语言的学习--shellcode加载器免杀

jjjjj34的博客

04-24

3222

在网上搜了很多关于Go语言的免杀，我也是刚学几天，就做个学习对于GO语言做免杀的记录。

参与评论您还未登录，请先登录后发表或查看评论

绕过AV：免杀shellcode加载器

03-04

旁路AV 条件触发式远控VT 6/70免杀国内杀软及后卫，卡巴斯基等主流杀软原理使用将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build（“ b64shellcode”）将main.go中的网址替换为您vbs的某个网页或文本（称为网页同样可以，但是需要程序可以正常使用时此网页需要可以访问）编译：go build -ldflags =“-w -s -H = windowsgui”

shellcode免杀

土豆的博客

07-14

2301

0x06利用wmic远程文件不落地执行shellcode 1、msf生成的hta链接放入hta.xsl文件中，（其中JScript调用mshta运行恶意hta），并将文件放置攻击方服务器 <?xml version='1.0'?> <stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" ..

【免杀对抗】远程加载AES+XOR异或加密的ShellCode加载器 过国内杀软

qq_35942869的博客

03-28

2545

纯萌新，尝试一下免杀，最近也是查了很多资料，面向Github编程借鉴了很多大佬的代码。通过XOR异或加密后再进行AES加密，然后通过修改shellcode加载方式进行简单的免杀。

免杀-Shellcode分离隐藏&C++

qq_45087791的博客

02-27

3233

Shellcode分离隐藏-让杀毒找不到。离免杀包含对特征和行为的分离两个维度，把shellcode从放在程序转移到加载进内存，把整块的ShellCode通过分块传输的方法上传然后再拼接，这些体现了基本的"分离"思想。

免杀对抗—python&分离免杀&无文件落地&图片隐写&SOCK管道

2301_76227305的博客

10-10

1845

今天主要是这个分离免杀，其实思路是很不错的，至于脚本那些，可以自己改进，或者说换个其他的语言来实现。最后，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。

【内网渗透】利用非常规手段突破安全策略上线CS

HBohan的博客

10-28

1348

前言本文为一篇利用非常规手段突破安全策略的内网渗透记录【查看资料】环境简述&说明 web打点getshell，webshell是冰蝎，权限为.net，权限很低，服务器为server 2016，目标不出网！装有杀毒软件（火绒、微软自带的WD），ASMI默认开启，而且对power shell有特殊策略限制。 Tcp、icmp、DNS协议不通，无法直接与公网的cs服务端建立连接，（内网的cs服务端也无法与其建立连接）公网也无法访问目标web服务（纯内网web服务）极其严格的出入站策略入

免杀对抗—DLL劫持&白加黑&隐写分离&EDR&Syscall-hook

2301_76227305的博客

10-31

3574

对于白加黑呢免杀效果是比较强的，关键是DLL后门的免杀，分离或者混淆都可以实现。至于这个Syscall，我是不会编写，只能玩一下别人的项目，而且这玩意挺难的我说实话，更加偏向于二进制那边的了。最后，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。

C2远控篇&C&C++&ShellCode定性分析&生成提取&Loader加载模式&编译执行

最新发布

2302_80396242的博客

06-17

1009

Python：语法简单，写起来容易，大部分学免杀的新手都会Python，认为Python容易，自己也懂Python，于是从 Python 开始学免杀，而结果恰恰相反，Pyhon写起免杀来比C/C++还要复杂，在C/C++中可以直接调用 Windows API，在 Python 中则要通过一层转化间接调用Windows API，而且Python打包的程序报毒比较高，体积比较大。1、静态查杀：最基本的查杀方式，主要通过对文件的特征码进行扫描，匹配已知的病毒特征库。

最新免杀360全套，无提示上线，免杀世界杀毒网！！

12-18

最新免杀360全套

如何用内网渗透突破安全策略

kali_Ma的博客

10-30

1245

前言本文为一篇利用非常规手段突破安全策略的内网渗透记录环境简述&说明 web打点getshell，webshell是冰蝎，权限为.net，权限很低，服务器为server 2016，目标不出网！装有杀毒软件（火绒、微软自带的WD），ASMI默认开启，而且对power shell有特殊策略限制。 Tcp、icmp、DNS协议不通，无法直接与公网的cs服务端建立连接，（内网的cs服务端也无法与其建立连接）公网也无法访问目标web服务（纯内网web服务）极其严格的出入站策略入站规则：

【免杀工具】Windows通用免杀shellcode加载器

Fly_鹏程万里

06-11

1924

本工具由ShellQMaker.exe和加载模板文件(loading.exe)组成。ShellQMaker.exe将不同的shellcode写入加载的模板文件(loading.exe)中，生成不同的可执行文件。运行环境：加载器模板通过QT实现使用C++开发，并由VS2022静态编译，目前只有一种加载模式，其他加载模式正在开发中。使用方法：使用vs2022打开项目解决方案(.sln)，然后进行编译即可，当然你也可以从。ShellQMaker (你的shellcode) (生成的可执行文件)

shellCode免杀技巧

qq_39330735的博客

05-15

3107

由上⾯的信息可⻅，国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒，虽然⾃动变异也可以看为是针对杀毒软件的⼀种免杀⽅法，但是由于与免杀⼿法的定义有出⼊，所以如果将国内免杀技术起源定位1997年会显得⽐较牵强。2005年2⽉-7⽉：通过各⽅⾯有意或⽆意的宣传，⿊客爱好者们开始逐渐重视免杀，在类似于免杀技术界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越来越多的讨论免杀技术，这为以后⽊⻢免杀的⽕爆埋下根基。\t错误值: %d\n", GetLastError());

免杀0到1之ShellCode与加载器

qq_37107430的博客

12-26

1090

Shellcode 是一段用于利用软件漏洞的机器码。它的名字来源于它通常的用途 —— 启动一个命令行 shell（如在 Unix 系统中的 /bin/sh 或 Windows 系统中的 cmd.exe），不过现在其功能已经扩展到执行各种恶意操作，比如文件读写、进程注入、权限提升等。

红队武器库--在线Shellcode免杀平台(2020年老文)

J0o1ey Blog

10-04

3084

和几位dalao忙了几天利用PHP+Python+GO三门语言写了一个在线shellcode免杀平台在CS中生成X64的c shellcode，按照平台指定格式提交，即可一键生成免杀exe后门（过所有国产）本人郑重承诺，不含任何后门！因为代码写的太烂，就不开源出来了我也不会收集大佬们的c2 ip，今年hw我并不参加本在线平台仅限攻防演练、授权渗透测试中使用，严禁用于非法用途（居心叵测之人自重，本系统带有溯源机制）使用注册码进行账号注册后，会自动获取最近两次登录的ip并进行绑定，其他ip无法登

免杀方法（十）GO免杀shellcode加载器 — go-shellcode-loader

qq_56426046的博客

10-04

2714

GO混淆免杀shellcode加载器AES加密，混淆反检测过DF、360和火绒。

[ShellCode] 动态解密 ShellCode，免杀

LYSM

11-27

2491

背景今天在复习《加密与解密》时，在软件保护这一章中有一个代码与数据结合的案例，其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置，当程序运行后将此处的内容动态的进行解密，解密后回写替换回原始内存位置，这样就能实现内存加载。由此案例我想到一个关于免杀的利用思路，首先杀软的运作方式多数为特征码查杀，当我们程序中使用了敏感的函数时，就会存在被杀的风险，而如果将代码段中的代码进行加密，需要时直接在内存中解密，那么杀软将无法捕捉硬盘文件的特征，从而可以规避杀软针对硬盘特征的查杀手法。经过阅读该案例

Shellcode分离加载实现免杀的两种方式(VT免杀率:1/68)

xf555er的博客

05-24

3353

本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载，以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程，并提供了相关的C++代码。为了避免被杀毒软件检测，利用动态API调用和lazy_importer项目进行代码优化。其次，文章讨论了如何通过远程URL加载shellcode，也提供了相应的实现代码。

CS免杀加载器：支持多语言的命令行安全工具

CS-Avoid-killing 是一个专注于 Cobalt Strike（简称 CS）免杀技术的开源项目，旨在帮助红队成员、渗透测试工程师以及安全研究人员绕过主流杀毒软件的静态与动态查杀机制。该项目由开发者自主设计并持续迭代，目前已...