文章总结： 文档介绍了基于PowerShell的图片隐写免杀技术原理，指出利用AV对图像检测缺失的特性，可将负载嵌入PNG图片最低有效位或生成新图片。该方法能将脚本压缩至约50%体积，实现隐蔽执行，为安全防御提供了识别思路。 综合评分： 50 文章分类： 免杀,红队,渗透测试

【免杀攻防】基于powershell的图片隐写免杀

原创

平凡在修行 平凡在修行

平凡在修行

2026年3月28日 20:00 北京

「你一直以为幸福是一个需要抵达的远方，但你低头看看，你已经站在别人梦寐以求的地方了」

「免责声明」

本公众号分享的所有文章仅用于信息防御技术研究，切勿用于其他用途。由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

「基于powershell的图片隐写免杀」

什么是图片免杀？

答：一般情况下，某些 AV 对图像未执行检测处理。这种情况下，它们可以仅使用有效负载数据来生成新图像，或将有效负载嵌入到现有图像的最低有效字节中，使其看起来像实际图像。这些图像以PNG格式保存，可进行无损压缩，不影响执行有效负载的能力，因为数据本身以颜色存储。生成新图像时，通常会对常规PowerShell脚本进行显著压缩，并生成大小约为原始脚本50％的PNG文件，非常方便。

生成ps1的 payload 文件

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：平凡在修行 平凡在修行 平凡在修行《【免杀攻防】基于powershell的图片隐写免杀》