文章总结： 本文介绍了一种新挖掘的高级LNK快捷方式免杀技术方案，仅需LNK与静态文件两个组件。该方案具备自我删除与远程下载诱饵功能，经测试可绕过360、火绒及Defender杀软，适用于红队演练与渗透测试场景，需签订合规协议使用，主要展示了其执行流程与免杀效果。 综合评分： 80 文章分类： 免杀,红队,渗透测试,软文广告,内网渗透

[0day]新挖掘到一套高级LNK快捷方式

原创

陆安予

白帽子安全笔记2.0

2026年1月4日 16:21 江苏

免杀的本质是漏洞，挖掘的是检测规则的盲区。

一、背景

近段时间，我一直在思考如何将大幅更新-高级lnk快捷方式新技术进行改进，无意间，挖掘到一套全新方案，将文件数量减少了一个，且具备自我删除功能，这是原有项目所不具备的。

经过对Windows脚本语言的全面研究，结合先前成功经验，在反复测试和修改后，成功兼容了3大主流杀软360、火绒、Defender且无法被检测，两文件即可运行，1点击。

二、方案对比

截至目前总共挖掘到的如下，各有优劣。

注：”压缩”指的是投递时需压缩，由于是多文件；”远程下载”指的是远程下载诱饵文档及载荷。

| 编号 | 名称 | 特点 | 绕过 | | — | — | — | — | | 1 | 高级LNK快捷方式 | 单文件;无需压缩;远程下载;PowerShell | Defender;火绒 | | 2 | 高级LNK快捷方式新技术 | 多文件;需压缩;远程下载 | 卡巴斯基;Defender;火绒;360 | | 3 | 新方案 | 2文件;需压缩;远程下载 | Defender;火绒;360 |

三、技术概况

项目由两部分构成，一个LNK，一个静态文件（静态文件可修改扩展名）。

GUI界面

执行流程如下:

解压打开”演练.lnk”文件删除”演练.lnk”和”静态文件”远程下载”演练.pdf”并打开检查关键文件是否存在文件存在?是否运行程序下载zip并解压解压成功?是否删除ZIP文件运行程序解压失败开始执行过程

演示:

Defender

火绒

360

以上均在Windows11-x64-24H2上于2026年1月4日测试。 （注：该方案无法绕过卡巴斯基。）

网络安全 #APT #红队训练

四、使用场景

• • 模拟高级攻防，提升信息安全意识。
• • 适用于廉政，公安等场景。

注意：此类进攻性方案需签订《红队工具销售与使用合规协议》

五、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• • 高级LNK快捷方式自动维持权限与进程注入
• • DLL侧载和DLL代理
• • [版本更新]高级lnk快捷方式武器化GUI
• • 大幅更新-高级lnk快捷方式新技术
• • 完全无法检测的cobaltstrike更新
• • [工具发布]幻影加载器GUI，高级堆栈欺骗
• • [工具发布]高级lnk快捷方式武器化GUI
• • AV终结者结束进程
• • LNK快捷方式的检测与突破
• • 红队加载器过主流杀软-混淆最终版
• • 红队有效载荷加载器
• • 10行代码即可免杀全球绝大多数杀毒软件
• • Cobaltstrike4.9.1平台高级匿名技术手册
• • Cobaltstrike4.9.1平台基础部署手册
• • 全网唯一，高级LNK快捷方式新技术发布
• • 顶级武器-完全无法检测的cobalt strike

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予《[0day]新挖掘到一套高级LNK快捷方式》