文章总结： 文档介绍了一种基于纯Shellcode和白程序Patch的文件捆绑技术，通过工具binfileBinder将恶意PE文件与诱饵文档嵌入合法程序资源节，实现运行时隐蔽释放执行、自删除及绕过主流杀软检测。核心优势包括静态规避能力强、支持任意诱饵格式、可过火绒/Defender等终端防护，并提供具体操作步骤如白程序Patch、资源嵌入方法。文末强调该技术仅限合法安全测试使用。 综合评分： 82 文章分类： 免杀,红队,恶意软件,安全工具,渗透测试

文件捆绑的“终极形态”：纯Shellcode + 白程序Patch

原创

词不达意 词不达意

词不达意安全团队

2026年5月8日 10:13 上海

在小说阅读器读本章

去阅读

文件捆绑技术

文件捆绑释放技术是指将pe程序与任意格式的诱饵文件（如 EXE、PDF、DOC、JPG 等）打包为一个独立的捆绑程序。运行时，捆绑程序会先释放并打开诱饵文件迷惑受害者，同时在后台释放真实载荷到系统目录并执行，最后将自身移动到隐蔽位置(达到自删除效果)。

binfileBinder工具

该工具将PE程序和诱饵文件嵌入白程序（宿主exe）的资源节中，运行时通过Shellcode释放执行，实现隐蔽捆绑和痕迹清理。

shellcode

释放pe程序和诱饵文件逻辑全部纯Shellcode实现功能binfileBinder.bin运行逻辑如下：

运行逻辑

打包完成后，直接运行生成的宿主 EXE（如 crash.exe），观察效果：

1. 1. 阶段一：恶意 PE 释放到 %PUBLIC% 并执行
2. 2. 阶段二：诱饵文件生成在当前目录并自动打开
3. 3. 阶段三：宿主 EXE 消失，出现在 %PUBLIC% 下（随机 .config 文件名）

使用教程

1.白程序Patch 将binfileBinder.bin patch到任意白程序

BinPatch.exe DingTalkUpdater.exe binfileBinder.bin
AddressOfEntryPoint: 0x255FC4
成功: Shellcode 已成功写入 PE 文件入口点位置

2.嵌入选择隐蔽执行程序和诱饵文件 使用encrypt.py嵌入资源，cs.exe为远控文件，简历.pdf为诱饵文档用于迷惑，DingTalkUpdater.exe为被patch后的白文件。

python encrypt.py cs.exe 简历.pdf -d DingTalkUpdater.exe

3.运行效果

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

词不达意安全团队已关注

分享视频

，时长00:28

0/0

00:00/00:28

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:28

00:28

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

文件捆绑的“终极形态”：纯Shellcode + 白程序Patch

观看更多

原创

,

文件捆绑的“终极形态”：纯Shellcode + 白程序Patch

词不达意安全团队已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

工具优势

静态规避效果较佳，最终输出载体为白程序EXE可随意替换，支持任意格式诱饵（EXE、PDF、DOCX 等）。

规避效果

可绕过火绒、Defender、Symantec等终端防护软件，vt效果70/3

纷传介绍

工具文件加入纷传获取，圈子专注红队终端安全对抗、社工钓鱼、免杀冲锋马、内网/域渗透。

圈子往期文件内容如下

• •冲锋马一键生成工具（一键生成免杀loader）
• •lnk文件一键生成工具（一键生成免杀钓鱼lnk文件）
• •bypass内存扫描插件（可绕过火绒、卡巴斯基等杀软内存扫描cs插件）
• •暗涌在线免杀平台（白文件patch免杀loader（分离、单文件）一键生成平台、支持反沙箱）
• •bypass任务计划工具（普通权限可添加、钓鱼快速免杀维权）
• •后渗透工具免杀（petobin，分离加载避免静态落地被秒）
• •BYOVD攻击一键结束赛门铁克进程
• •BinPatch免杀工具过国内主流杀软
• •白影(whiteShadow)自动化白加黑免杀工具v1.0
• •白影(whiteShadow)自动化白加黑免杀工具v2.0
• •Windows恶意软件常见API一览（PDF）
• •Maldev Academy 恶意软件开发完整课程（源码+VM镜像）
• •SplitRun一款exe免杀工具v1.0
• •cs4.5二开过火绒内存扫描
• •binfileBinder文件捆绑工具

重要声明

本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担，禁止用于任何非法渗透测试，以及无授权违法测试，请遵守中华人民共和国网络安全法。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：词不达意安全团队 词不达意 词不达意《文件捆绑的“终极形态”：纯Shellcode + 白程序Patch》