文章总结： Voidshell是一款针对x86-64LinuxELF二进制文件的免杀规避工具，通过多层加密壳在内存中解密执行原始程序，磁盘上保持加密状态。该工具支持C/C++、Rust、Go等语言编写的程序，并提供反沙箱模式，实战中可有效规避EDR、HIDS检测，成功对fscan、frp、C2agent等工具进行免杀处理，在VirusTotal和微步沙箱中实现零检测。 综合评分： 85 文章分类： 恶意软件,免杀,红队

Linux免杀：VoidShell通杀fscan、frp、C2等，VT 0检测！

原创

词不达意 词不达意

词不达意安全团队

2026年6月21日 12:21 上海

在小说阅读器读本章

去阅读

ELF 是什么

ELF（Executable and Linkable Format，可执行与可链接格式） 是 Linux 系统下最核心的二进制文件格式。

什么是 VoidShell

VoidShell是一个针对 x86-64 Linux ELF 二进制文件的免杀规避工具。它将原始程序包裹在多层加密壳中，运行时在内存中解密并执行，磁盘上始终保持加密状态。

为什么要使用 VoidShell

Linux下EDR、HIDS对抗

在一次项目中，存在jdbc反序列化漏洞，反弹shell拿到目标Linux机器，上线vshell发现文件落地就被秒，查看发现可疑进程wdavdaemon。

上网搜了下，发现wdavdaemon是微软企业级安全产品 Microsoft Defender for Endpoint（原 Windows Defender ATP）的核心后台守护进程（Daemon）或服务。它主要负责在 macOS 和 Linux 系统上提供实时的防病毒（AV）、端点检测与响应（EDR）以及防篡改保护等安全功能。

当时Linux免杀没有经验，顶多重新编译源码尝试免杀，对于一些不开源的工具更加没办法，项目结束后花了些时间研究，借助AI开发了VoidShell工具。

适用于有防护对抗下，对常用工具fscan、gogo、frp、c2_agent、CDK等进行免杀规避。

使用教程

基础用法

# 加壳
./VoidShell program program_packed
[*] outfile: program_packed

# 运行
./program_packed
# 功能与原始 program 完全一致

反沙箱模式

# 打包时启用反沙箱
./VoidShell agent agent_sandbox -run
[*] outfile: agent_sandbox

# 运行
./agent_sandbox              # 静默退出，无任何输出
./agent_sandbox -run         # 正常运行
./agent_sandbox -run -h      # 正常运行并传递参数

实战案例

# 对 fscan 加壳
./VoidShell fscan fscan_encrypted

# 对 fscan 启用反沙箱
./VoidShell fscan fscan_sandbox -run

常规模式 对 fscan 启用反沙箱，fscan功能正常

对vshell载荷进行处理并启动反沙箱

# vshell 启用反沙箱
./VoidShell tcp_linux_amd64 agent -run

反沙箱加参数运行 正常上线

规避效果

未使用VoidShell前，原版fscan vshell落地就查杀

VirusTotal高检测

使用VoidShell后

微步沙箱0检出 VirusTotal零检测

支持的程序类型

| 语言 | ET_EXEC | ET_DYN (PIE) | 备注 | | — | — | — | — | | C/C++ | ✅ | ✅ | 全部支持 | | Rust | ✅ | ✅ | 全部支持 | | Go | ✅ | ✅ | 全部支持 |

注意事项

• • 仅支持 x86-64 Linux ELF
• • 本工具仅供 CTF 竞赛与本地授权测试使用，严禁用于任何未授权目标!

纷传介绍

VoidShell工具加入纷传获取

圈子往期文件内容如下

• •冲锋马一键生成工具（一键生成免杀loader）
• •lnk文件一键生成工具（一键生成免杀钓鱼lnk文件）
• •bypass内存扫描插件（可绕过火绒、卡巴斯基等杀软内存扫描cs插件）
• •暗涌在线免杀平台（白文件patch免杀loader（分离、单文件）一键生成平台、支持反沙箱）
• •bypass任务计划工具（普通权限可添加、钓鱼快速免杀维权）
• •后渗透工具免杀（petobin，分离加载避免静态落地被秒）
• •BYOVD攻击一键结束赛门铁克进程
• •BinPatch免杀工具过国内主流杀软
• •白影(whiteShadow)自动化白加黑免杀工具v1.0
• •白影(whiteShadow)自动化白加黑免杀工具v2.1
• •Windows恶意软件常见API一览（PDF）
• •Maldev Academy 恶意软件开发完整课程（源码+VM镜像）
• •SplitRun一款exe免杀工具v1.0
• •cs4.5二开过火绒内存扫描
• •binfileBinder文件捆绑工具
• •RPC添加计划任务绕过360核晶
• •DarkTide内部版单文件免杀
• •VoidShell：x86-64 Linux ELF 加壳混淆工具

重要声明

本文所涉及的技术、思路和工具仅用于本地靶场安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担，禁止用于任何非法渗透测试，以及无授权违法测试，请遵守中华人民共和国网络安全法。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：词不达意安全团队 词不达意 词不达意《Linux免杀：VoidShell通杀fscan、frp、C2等，VT 0检测！》