简介

Yubypass WEB端由PHP搭建 免杀由Go搭建 调用本地的Go及工具(也可部署到服务器上-需开启严格的地址校验)

免杀流程:

把 shellcode打包进EXE里隐写→ 运行时解出 → 通过反转字符串+ntdll 低级 API 分配 RW 内存、分块慢速写入 → 转成 RX → 用定时器回调执行，再配合大量无害的 hash / 网络 / 随机延迟噪音，来同时躲静态特征和行为特征。

由于样本未公开,相关文章及使用只开放部分内部成员,免杀效果从25年(在攻防中拥有多次实战落地经验)-至今(2026年)

未被360查杀

现已集成武器化工具

使用面板

如果是CS或vshell的bin文件 先->加解密生成->免杀生成->QVM绕过

如果是EXE免杀 先->EXE转换->加解密生成->免杀生成->QVM绕过

EXE转换

donut：将 PE 文件（EXE/DLL）转换为 Shellcode 的工具。

功能特点：

• 支持 x86 和 x64 架构
• 自动处理 AMSI/WDLP/ETW 绕过
• 随机名称和加密
• 生成的 Shellcode 可用于后续隐写处理

转换后的 Shellcode 文件可用于加解密生成功能，进行 LSB 隐写处理。

加解密生成

功能说明：将 shellcode 通过 Base64 编码后，使用 LSB 隐写技术嵌入到 PNG 图片中。

使用步骤：

1. 准备 shellcode 二进制文件（.bin 格式）
2. 准备载体图片（PNG 或 JPEG 格式）
3. 选择加密方式（仅用于记录，实际处理为 Base64 + LSB 隐写）
4. 点击”开始加密”按钮
5. 生成完成后下载 ikenan.png 文件

注意事项：

• 生成的 ikenan.png 会自动复制到 Go 项目目录，可直接使用 //go:embed ikenan.png
• 载体图片需要足够大，至少需要 (shellcode大小 * 1.33 + 4) / 3 个像素

免杀生成

功能说明：使用 Go 语言构建免杀 EXE 文件。

使用步骤：

1. 确保在 GO_PROJECT_DIR 目录下准备好 main.go 和 go.mod(本地已部署完毕)
2. 确保已生成 ikenan.png 文件（通过加解密生成功能）
3. 填写要生成的 EXE 名称
4. 点击”开始构建”
5. 构建完成后下载生成的 EXE 文件

注意事项：

• Go 版本需要与 go.mod 中声明的版本兼容
• 构建参数：-ldflags="-s -w -H=windowsgui"

QVM绕过

功能说明：通过替换图标和签名来绕过杀毒软件的检测。

三种模式：

• QVM 绕过（图标+签名）：先替换图标，再添加签名，生成多个不同版本
• 图标替换：仅替换目标文件的图标资源
• 签名替换：仅从源文件复制签名到目标文件

使用步骤：

1. 上传目标文件（target.exe）
2. 可选：上传图标/签名源文件（不选则使用默认 wps.exe）
3. 设置生成数量（1-50）
4. 点击生成按钮
5. 生成完成后可批量下载 ZIP 压缩包

云沙箱导航

文件分析与免杀测试

生成记录

通知中心

用于通知任务完成