飞星注入器v.2.0.3 开源 | 已绕过卡巴斯基EDR

显示全部楼层 · 发表于 2025-4-5 14:30:01

本帖最后由菜叶片于 2025-4-5 15:40 编辑

飞星注入器v2.0.3
经测试已绕过：
卡巴斯基 Next EDR 基础版
BitDefender TotalSecurity
360安全卫士（未开核晶）

B站演示视频将于下午五点发布
我的B站主页

项目源代码请见
飞星注入器v2.0.1
GalaxyGate - 自研栈欺骗和间接系统调用思路Github可以给星星嘛 XD
（因为我有个朋友要拿2.0.3研究过360核晶暂时不开源最新版本这里发的2.0.3Lite也关闭了编译器优化但我感觉成功不了 XD）
注意：无法绕过使用CPU虚拟化的AV/EDR
思路详解请点这里前往我的博客

首先需要安装Visual C++分发版 C标准库
以管理员身份启动程序会注入到winlogon.exe
此时“以管理员身份启动”任意程序会有计算器弹出（使用的是Metasploit的calc shellcode）
但是由于SYSTEM用户没有相应注册表键
因此会弹出openwith.exe 选择程序打开ms-calculator链接

验证：
使用System Informer验证进程父进程为svchost - DcomLaunch服务

使用windbg调试winlogon 检验注入器显示的Hook点和shellcode注入点
注：发现问题 Winlogon.exe在某些未知特定情况是sechost.exe启动的此时主线程以sechost.dll的映像为主体问题特征：注入器无法搜索到注入点显示0x000000000
问题检验：用windbg BreakIn后输入~0s 然后 kp 检验调用栈是否以sechost为主体

显示全部楼层 · 发表于 2025-4-5 14:49:40

本帖最后由吃瓜群众第123位于 2025-4-5 17:16 编辑

EEA miss VSE miss

显示全部楼层 · 发表于 2025-4-5 15:11:14

cortex miss
但“以管理员身份启动”运行样本后“以管理员身份启动”任意程序并未有计算器弹出

显示全部楼层 · 发表于 2025-4-5 15:13:33

Idefender

显示全部楼层 · 发表于 2025-4-5 15:26:05

WD 扫描miss。双击有ASR阻止，允许后 miss。但"以管理员身份"运行任意程序没有计算器弹出。

显示全部楼层 · 发表于 2025-4-5 15:30:44

卡巴+sep环境
双击无计算机弹出，显示注入成功，无报毒

显示全部楼层 · 发表于 2025-4-5 16:05:52

eis miss

显示全部楼层 · 发表于 2025-4-5 16:10:29

McAfee miss

显示全部楼层 · 发表于 2025-4-5 16:17:37

各位能否发一下程序的返回数据谢谢如果是0x0 则注入失败 Winlogon.exe在某些未知特定情况是sechost.exe启动的此时主线程以sechost.dll的映像为主体问题特征：注入器无法搜索到注入点显示0x000000000
问题检验：用windbg BreakIn后输入~0s 然后 kp 检验调用栈是否以sechost为主体但是目前该问题我只复现了一次
我现在正在下其他版本的系统映像也有可能是Winlogon在新版本Windows更新
目前我的Windows版本是Win10 22H2

显示全部楼层 · 发表于 2025-4-5 16:23:16

本帖最后由 yeahnangua 于 2025-4-5 16:45 编辑

BEST 触发ATC，但ATC清除之后 ,触发UAC会弹出计算器且计算器为NT AUTHORITY\SYSTEM权限。注入器返回

WinLogon PID Found:984
Cal1 instruction written at 0x00007FF7FF6259AA, pointing to 0x000e7FF7FF638770
[+]Shellcode written to 0x00e07FF7FF638770
[+]Injection successful,waiting for NtwaitForSingleobject to return!
Press any key to continue...

复制代码

[病毒样本] 飞星注入器v.2.0.3 开源 | 已绕过卡巴斯基EDR

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分