飞星注入器v.2.0.5 开源 | 已绕过卡巴斯基EDR

菜叶片

注入器将会内联Hook Winlogon主映像中的所有nop [rax+rax] 以支持不同winlogon.exe版本
目前待解决的问题：
没有为NtOpenProcess找到合适的高层诱饵函数 通过函数调用树反向查询 找到了GetThreadWaitChain函数 但是修改其系统调用参数会导致ntdll.dll产生异常: Invalid Handle
使用VEH捕获 尝试将执行流强行返回 然后 堆炸了 XD

以管理员身份启动 程序会注入到winlogon.exe
此时“以管理员身份启动”任意程序 会有计算器弹出（使用的是Metasploit的calc shellcode）
但是由于SYSTEM用户没有相应注册表键
因此会弹出openwith.exe 选择程序打开ms-calculator链接

---
12:14 更新
MSVC编译器选择了全程序优化 以对抗静态查杀 目前360已经没有问题
添加了错误处理 和回显输出
------
14:15 更新
Chacha20加密Shellcode
解决了WD特征Metasploit的Shellcode问题
（经测试xor AES RSA加密都会报毒 但是chacha20 用原始内存操作实现 就不会）

---
15:01 更新 v2.0.5b5
密钥错误
---
15:25更新 v2.0.5b5-explorer
注入explorer 不再需要窃取令牌提权
winlogon版在Win11会令牌获取失败
因为explorer太活跃了 注入后explorer会疯狂触发Shellcode 然后 打开一堆计算器把电脑干死机
XD

---
15:58更新 v2.0.5b6
密钥再次填错 这次是复制的 自测没问题
XD

zhuzhu009

Analysis StarFly2.0.4.exe (MD5: 6C18777CE7F0411EE4FCC3D998D967CE) No threats detected - Interactive analysis ANY.RUN


360 火绒火绒miss
360查出来了，然后触发自动上报了...

菜叶片

zhuzhu009 发表于 2025-4-6 10:32
360 火绒火绒miss
360查出来了，然后触发自动上报了...

我自己测一下 然后换编译器参数重新编译 静态查杀查出来基本上换编译参数就可以
话说这个any.run感觉有点唐呢...其他云沙箱都能查出来线程模拟令牌换了啊 之类的
（指VirusTotal内置的那几个）

Komeiji-Reimu

zhuzhu009 发表于 2025-4-6 10:32
Analysis StarFly2.0.4.exe (MD5: 6C18777CE7F0411EE4FCC3D998D967CE) No threats detected - Interactive  ...

测双击啊

Komeiji-Reimu

加壳之后重测了一下

啊松

能触发pdm

https://opentip.kaspersky.com/2A ... /results?tab=upload

zhuzhu009

菜叶片 发表于 2025-4-6 10:35
我自己测一下 然后换编译器参数重新编译 静态查杀查出来基本上换编译参数就可以
话说这个any.run感觉有 ...

anyrun跑不出来注册没指望他跑出来

菜叶片

Komeiji-Reimu 发表于 2025-4-6 10:43
加壳之后重测了一下

Intel-VT 开核晶了过不了

菜叶片

啊松 发表于 2025-4-6 10:45
能触发pdm

https://opentip.kaspersky.com/2AB82651CBF7EA6BD79E795994A8ECB392146E96D792CD69697049EE2 ...

pdm是啥 我卡巴EDR一点动静都没有
静态动态全部miss...连网了

Jirehlov1234