文章总结： 该文档介绍三种VBS脚本对抗WindowsDefender的技术：通过大量注释混淆代码结构、使用HexToString编码隐藏敏感路径、Base64编码PowerShell脚本实现进程注入。文章提及Shellcode加密和加载器实现原理，但后半部分转为推广付费免杀知识库，包含联系方式与价格信息。 综合评分： 42 文章分类： 恶意软件,免杀,WEB安全,渗透测试,安全工具

VBS脚本对抗Defender过时了？

原创

kernel kernel

Relay学安全

2026年3月27日 16:51 陕西

在小说阅读器读本章

去阅读

通过大量的注释来对抗Defender

首先我们可以通过大量的注释来增大VBS文件的体积从而对抗Defender。例如如下图中我们有大量的注释，然后将其真正的恶意代码参杂在这些注释中。

HexToString编码

我们可以将其字符串转换为16进制，后续通过定义一个HexToString方法来进行操作。这样的好处在于在我们的VBS代码中不会出现例如一些可疑的路径，比如说C:\Users\Public\xxx.exe，类似于这种路径。

那么在这里我将其输出文件的路径进行了HexToString编码的操作。

解码输出Powershell脚本

我们可以编写一个Powershell脚本，在Powershell脚本中我们可以实现类似于C语言中的Loader加载器功能。比如说进程注入？我们可以获取到目标进程的PID，从而通过例如VirtualAllocEx分配内存，WriteProcessMemory写入Shellcode，CreateRemoteThread创建远程线程执行Shellcode。

当然你的Shellcode一定是加密过的，你可以通过Xor或AES加密的方式来对你的Shellcode进行混淆处理。

那么当你编写好你的Powershell脚本后，可以将其Powershell脚本进行Base64解码操作。例如:

编码之后，你就可以将其Base64编码后的脚本放到你的VBS中，在你的VBS脚本中用一个编码进行定义，后续在你的VBS脚本中进行Base64解码操作，解码后你可以将其输出到例如C:\Users\Public目录下。

最终通过Powershell去执行你的Shellcode。那么你要是问我代码怎么写？右转=>GPT

思路就这三个思路，最后请看如下VCR:

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

Relay学安全已关注

分享视频

，时长01:00

0/0

00:00/01:00

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

01:00

01:00

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

VBS脚本对抗Defender过时了？

观看更多

转载

,

VBS脚本对抗Defender过时了？

Relay学安全已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

内部知识库详情介绍

经过长时间的编写文档，这里建立了一个免杀学习的内部知识库。

在这里我们当脚本小子，只探究原理，能让你真正的从0到1学习免杀相关知识。价格优惠，物超所值！！！

部分内容截图

如有需要请加V 备注知识库:

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Relay学安全 kernel kernel《VBS脚本对抗Defender过时了？》