文章总结： Evasion-SubAgents是基于ClaudeCode的免杀技术自动化研究框架，通过四个专门化AI智能体实现GitHub免杀技术自动搜索、ShellcodeLoader生成、现有代码免杀集成及C2框架源码改造。项目采用模块化知识库设计，支持技术积累与复用，适合红队、安全研究人员快速生成多样化攻击载荷。需注意生成代码需人工验证，且必须在合法合规框架内使用。 综合评分： 85 文章分类： 免杀,红队,AI安全,安全工具,安全研究

Evasion-SubAgents：让AI帮你做高级免杀研究的Skill

原创

Zacarx Zacarx

Zacarx随笔

2026年3月16日 17:27 西藏

在小说阅读器读本章

去阅读

如果你是一名安全研究人员或红队成员，你一定经历过这样的场景：为了绕过杀软检测，你需要在GitHub上翻找各种免杀技术，手动分析代码，尝试各种组合，编译测试，反复调试…这个过程既枯燥又耗时。

现在，有人把这套流程交给了AI。

这是个什么项目？

Evasion-SubAgents 是一个基于 Claude Code 的免杀技术自动化研究框架。简单来说，它能帮你：

• 自动搜索 GitHub 上的免杀技术
• 自动生成各种 Shellcode Loader
• 自动把免杀技术集成到你的代码里
• 甚至能分析 C2 框架源码并进行免杀改造

听起来很酷对吧？让我们深入看看它是怎么做到的。

四个AI打工人

这个项目最有意思的地方，是它用了四个专门化的AI智能体，每个都有自己的职责：

research-agent – 技术研究员

这个AI的工作是在GitHub上搜索免杀技术。它会分析代码，提取关键技术点，然后把这些知识整理成结构化的数据存到知识库里。你只需要告诉它”去找找API混淆的技术”，它就会自己去搜索、分析、归档。

loadergen-agent – Loader工程师

有了技术知识库，这个AI就能开始干活了。它会从组件库里挑选合适的模块（存储方法、内存分配器、数据复制器、执行器），自动组合成完整的 Shellcode Loader，然后编译测试。

更聪明的是，它会记录已经生成过的组合，避免重复劳动。

evasion-agent – 免杀专家

如果你已经有一个 Loader，但想加点免杀技术进去，这个AI就派上用场了。你把代码给它，它会分析兼容性，选择合适的免杀技术，然后自动集成到你的代码里。

支持的技术类型包括：API混淆、字符串混淆、内存规避、反分析、AMSI/ETW绕过、脱钩等等。

c2-evasion-agent – C2改造师

这是最有意思的一个。它能分析 C2 框架的源码，搜索相关的检测规则（YARA、Sigma等），找出代码中的特征，然后修改源码来规避检测。

这个功能把免杀技术的应用范围从单个 Loader 扩展到了完整的 C2 框架，相当实用。

知识库：项目的大脑

整个系统的核心是三个JSON知识库：

免杀技术库（evasion_techniques.json）

存储各种免杀技术的详细信息，包括技术名称、类型、实现代码、复杂度等。每个技术都有一个ID，方便引用和组合。

Loader组件库（loader_techniques.json）

采用模块化设计，把 Loader 拆分成四类可组合的组件。这样的好处是灵活性极高，不同组件可以自由组合，产生大量变体。

生成记录库（scenarios.json）

记录已经生成过的组合方案，避免重复生成相同的东西。这个设计很贴心，能节省不少时间。

实际使用起来是什么样？

项目提供了四个命令，使用起来很直观：

# 搜索技术
/research "API hashing C++"

# 生成5个不同的 Loader
/loader_generate 5

# 给现有 Loader 加免杀
/evasion_integrate ./my_loader.c --type api_obfuscation

# 改造 C2 框架
/c2_evasion /path/to/c2/source

每个命令都支持参数化调用，可以精确控制生成的内容。比如你可以指定执行方式、复杂度、具体的技术ID等。

这个项目的亮点

1. 真正的自动化

从技术研究到代码生成，从集成到测试，整个流程都是自动化的。你只需要下达指令，剩下的交给AI。

2. 知识可以积累

传统的免杀研究，知识都在研究人员脑子里。这个项目把知识结构化存储，可以持续积累、复用、分享。你今天研究的技术，明天还能用。

3. 模块化设计

Loader 组件库的设计很聪明。每个组件都是独立的，可以自由组合。想加新组件？直接往库里添加就行，不影响现有的东西。

4. AI能力加持

基于 Claude Code 的强大代码理解能力，它能分析复杂的代码逻辑，生成高质量的代码，还能进行智能的兼容性分析。这是传统脚本工具做不到的。

也要说说不足

当然，这个项目也不是完美的：

知识库需要时间积累

刚开始用的时候，知识库是空的。你需要花时间让 research-agent 去搜索和积累技术。这个过程可能需要一些时间。

生成质量需要验证

虽然AI很强大，但生成的代码不一定每次都能编译通过，也不一定每次都有效。你还是需要人工审查和测试，不能完全依赖自动生成。

适合谁用？

这个工具特别适合：

• 红队成员：快速生成多样化的攻击载荷
• 安全研究人员：学习和积累免杀技术
• 蓝队防御者：了解攻击者的技术手段，测试防御产品
• 安全培训讲师：作为教学演示工具

但要记住，工具只是工具。它能提升效率，但不能替代你的专业判断。而且，任何安全工具都必须在合法合规的框架内使用。

写在最后

Evasion-SubAgents 代表了一个有趣的方向：用AI来辅助安全研究。它不是要替代安全研究人员，而是把那些重复性的、机械性的工作自动化，让研究人员可以专注于更高层次的思考和创新。

从手工作坊到自动化流水线，这是技术发展的必然趋势。在AI技术快速发展的今天，我们会看到越来越多类似的工具出现。攻防对抗也将进入一个新的阶段。

作为安全从业者，我们需要拥抱这种变化，善用工具，但也要保持清醒的头脑。技术是中性的，关键在于使用它的人。

如果你对免杀技术感兴趣，不妨试试这个项目。它可能会给你带来一些新的启发。

项目地址：https://github.com/JDArmy/Evasion-SubAgents

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Zacarx随笔 Zacarx Zacarx《Evasion-SubAgents：让AI帮你做高级免杀研究的Skill》