飞星注入器v.2.0.3 开源 | 已绕过卡巴斯基EDR

00006666

菜叶片 发表于 2025-4-5 18:36
巧了 前几天刚有人跟我说过这个 XD

你讨论的这些，至少两年前就被人用过了，360那边也知道这些东西，现在360也在开发一些新的技术，不依赖核晶，在部分系统生效

菜叶片

00006666 发表于 2025-4-5 18:37
你讨论的这些，至少两年前就被人用过了，360那边也知道这些东西，现在360也在开发一些新的技术，不依赖核 ...

你给的这个逆天了 给杀毒软件的令牌降权 确实好玩 哈哈哈

00006666

菜叶片 发表于 2025-4-5 18:38
你给的这个逆天了 给杀毒软件的令牌降权 确实好玩 哈哈哈

讲道理，直接干掉杀软就没有意思了，这是奇技淫巧，黑产家族才这样做。

BitterLotus

DeepInstinct解压杀
S1解压miss

RainCloud9

后续：
卡巴uds反应过来给了个高级清除。完。

菜叶片

RainCloud9 发表于 2025-4-5 20:46
后续：
卡巴uds反应过来给了个高级清除。完。

uds是啥 我卡巴EDR基础版 行为检测没发现 然后 内存扫描挂了三十分钟没扫出来 高级清除？根本没触发

RainCloud9

菜叶片 发表于 2025-4-5 20:52
uds是啥 我卡巴EDR基础版 行为检测没发现 然后 内存扫描挂了三十分钟没扫出来 高级清除？根本没触发

我是实机测试，从上面那个贴挂到现在刚刚弹出来StarFly的UDS
屏幕中间的openwith是证据
反应也是够快的。

菜叶片

RainCloud9 发表于 2025-4-5 20:54
我是实机测试，从上面那个贴挂到现在刚刚弹出来StarFly的UDS
屏幕中间的openwith是证据
反应也是够快的 ...

我现在在修改 不再用winlogon作为注入目标了 我发现了一个更好的目标
因为winlogon随系统版本 更新过于频繁 并且 映像完全不一样 反汇编后几乎找不到相同的汇编码 也不知道怎么做到的 每个函数RVA都不一样
并且增强了对抗
之前懒 没有给所有调用了的函数都安排对应的傀儡高层函数
结果被天穹云沙箱当场捕获
使用诱饵ZwQueryAttributesFile调用真实的ZwOpenProcess系统调用，规避应用层hook检查
现在老实了...找个真的调用了NtOpenProcess的高层函数当 呃他管这个叫诱饵那就叫诱饵吧
实测可以

Komeiji-Reimu

菜叶片 发表于 2025-4-5 18:14
有CPU虚拟化吧应该 其他人注入后不生效是因为winlogon版本和我这边测试的版本不同 现在在修
但是注入到 ...

冰盾应该没有使用cpu虚拟化

Fadouse

S1静态miss
双击没跑起来
后台indicators:
Indicators
Behavioral Indicators
Exploitation
ExecutableWithShellcodeBehavior
Detected executable file behaving like a shellcode
MITRE: Execution {T1059}
MITRE: {T1203}
General
AddVehHandler
Detects the registration of a vectored exception handler
Persistence
ShimmedApplication
Process is shimmed by an unknown fix
MITRE: Persistence {T1546.011}
MITRE: Privilege Escalation {T1546.011}