文章总结： 本文介绍BypassAV工具，通过Patch白文件实现免杀，测试通过360、火绒、Defender及卡巴斯基。使用时需用donut生成shellcode并经sgn加密，重命名为work.bin。作者指出未加密加壳的原始exe才可转换，且该方案失效较快，建议自行修改模板，仅限合法测试。 综合评分： 74 文章分类： 免杀,安全工具,红队

免杀 | 过360、火绒、Defender、卡巴斯基

Sakura529 Sakura529

菜鸟学信安

2026年1月23日 08:30 重庆

工具介绍

BypassAV通过Patch白文件实现Bypass,没有添加其他免杀手法，失效可能比较快。可以自行根据shellcode模板创建新版本。作者：Sakura529

使用方法

使用donut将后渗透工具转换为shellcode，再使用sgn进行加密，命名为work.bin即可。 原始exe不能经过加密、加壳，如fscan的发行版，无法转换成shellcode使用。

本工具仅限用于合法的渗透测试，请勿用于违法行为，因本工具造成的任何损失由使用者自行承担。

测试

360： 

火绒： 

defender： 

卡巴斯基： 

参考链接

https://xz.aliyun.com/news/14518

https://www.52pojie.cn/thread-1900852-1-1.html

https://github.com/yinsel/BypassAV

https://github.com/yj94/BinarySpy?tab=readme-ov-file

https://github.com/clownfive/CppDevShellcode

项目地址

https://github.com/Sakura529/BypassAV

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：菜鸟学信安 Sakura529 Sakura529《免杀 | 过360、火绒、Defender、卡巴斯基》