飞星注入器v.2.0.3 开源 | 已绕过卡巴斯基EDR

显示全部楼层 · 发表于 2025-4-5 16:27:06

LSPD 发表于 2025-4-5 16:05
eis miss

ESSP

ESET LiveGuard trojan

显示全部楼层 · 发表于 2025-4-5 16:53:32

本帖最后由 lsop1349987 于 2025-4-5 17:58 编辑

emsisoft enterprise security + edr 双击注入成功，但管理员双击其他程序无计算器弹出
HMPA/avira/avast同上

显示全部楼层 · 发表于 2025-4-5 16:56:51

本帖最后由菜叶片于 2025-4-5 16:57 编辑

lsop1349987 发表于 2025-4-5 16:53
emsisoft enterprise security + edr 双击注入成功，但管理员双击其他程序无计算器弹出

你好现在遇到了一个问题 winlogon貌似在不同windows版本中不一样或者
反正未知原因导致winlogon线程执行的映像不同
我不能复现能否用任务管理器生成一下winlogon的内存转储文件谢谢

显示全部楼层 · 发表于 2025-4-5 17:01:47

BEST Missed
但是显示Injection successful后，管理员执行其他程序并没有弹出计算器

显示全部楼层 · 发表于 2025-4-5 17:03:23

菜叶片发表于 2025-4-5 16:56
你好现在遇到了一个问题 winlogon貌似在不同windows版本中不一样或者
反正未知原因导致winlogon线程执 ...

https://c.wss.cc/f/goztrghfp11 复制链接到浏览器打开
是这个吗

显示全部楼层 · 发表于 2025-4-5 17:04:24

https://app.any.run/tasks/9db6631f-2aaa-4d2b-85bf-51ad11f75e3b没跑出来

显示全部楼层 · 发表于 2025-4-5 17:11:58

lsop1349987 发表于 2025-4-5 17:03
https://c.wss.cc/f/goztrghfp11 复制链接到浏览器打开
是这个吗

谢谢

显示全部楼层 · 发表于 2025-4-5 17:14:41

360企业安全云双击拦截并清除

显示全部楼层 · 发表于 2025-4-5 17:26:08

wywt123 发表于 2025-4-5 16:27
ESSP

ESET LiveGuard trojan

elg还是管点用的

显示全部楼层 · 发表于 2025-4-5 17:33:54

本帖最后由菜叶片于 2025-4-5 17:48 编辑

各位发现一个问题在不同windows情况下 winlogon版本不同映像不一样
通过分析调用栈可以看出来这两个winlogon.exe的函数RVA就不一样
Hook无法被注入但是
shellcode应该是可以注入的即使这两个winlogon.exe不一样 C标准库的启动函数仍然是相同的
在图3中更明显版本号完全不同
我正在反汇编多版本winlogon 以找到都适配的shellcode注入点

[病毒样本] 飞星注入器v.2.0.3 开源 | 已绕过卡巴斯基EDR

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源