飞星注入器v.2.0.5 开源 | 已绕过卡巴斯基EDR

UNknownOoo

火绒
运行：关键进程防护（虽然平时不开这玩意...但这是火绒防止系统进程被篡改的唯一方法了..）

1. 防护项目：关键系统进程
   
2. 目标进程：C:\Windows\System32\winlogon.exe
   
3. 目标进程命令行：winlogon.exe
   
4. 操作结果：已阻止
   
5. 进程ID：5576
   
6. 操作进程：C:\Users\User\Desktop\StarFly2.0.4 Build2.exe
   
7. 操作进程命令行："C:\Users\User\Desktop\StarFly2.0.4 Build2.exe"
   
8. 父进程ID：5740
   
9. 父进程：C:\Windows\explorer.exe
   
10. 父进程命令行：C:\Windows\Explorer.EXE

复制代码

以管理员权限运行后没有计算机弹出：

DisaPDB

UNknownOoo 发表于 2025-4-6 13:24
火绒
运行：关键进程防护（虽然平时不开这玩意...但这是火绒防止系统进程被篡改的唯一方法了..）

没事注入关键系统进程还找不对内存基址是这样的
为什么不注入可爱又无害的explorer呢=）

菜叶片

DisaPDB 发表于 2025-4-6 13:25
没事注入关键系统进程还找不对内存基址是这样的
为什么不注入可爱又无害的explorer呢=）

explorer还不需要提权到SYSTEM
但是...十几个线程啊 怎么分析注入点啊...
哎也可以试一下
主要winlogon权限高 emm

00006666

360技术白皮书在今天还是很有含金量的

https://www.doc88.com/p-89159796897170.html

UNknownOoo

DisaPDB 发表于 2025-4-6 13:25
没事注入关键系统进程还找不对内存基址是这样的
为什么不注入可爱又无害的explorer呢=）

嘛..至少在我的环境下他还是找对的（）

00006666

菜叶片 发表于 2025-4-6 13:30
explorer还不需要提权到SYSTEM
但是...十几个线程啊 怎么分析注入点啊...
哎也可以试一下

提醒你一下，360没有内存扫描，非注入手段对付360有奇效，在联网核晶状态下就别想着注入了，不过你就算运行起来了，要想持久化也很困难，除非你也跟那些银狐一样，直接干掉360

DisaPDB

UNknownOoo 发表于 2025-4-6 13:38
嘛..至少在我的环境下他还是找对的（）

是谁在win11下拿不到token呢~好难猜啊~

菜叶片

DisaPDB 发表于 2025-4-6 13:44
是谁在win11下拿不到token呢~好难猜啊~

我给新版本加了shellcode chacha20解密
目前VT DI MaxSecure 火绒报毒
但是
Trojan/KillMBR.bj
火绒报的啥玩意儿...
发现原因
我chacha20加密密钥用的我github主页
然后火绒特征我主页url了...
因为我之前写过MBR Killer 哈哈哈哈好

注入explorer就不需要提权了
或者 呃 我看看win11什么情况吧 在下镜像 XD

菜叶片

UNknownOoo 发表于 2025-4-6 13:24
火绒
运行：关键进程防护（虽然平时不开这玩意...但这是火绒防止系统进程被篡改的唯一方法了..）

他怎么找的 直接扫Winlogon内存 验证映像完整性 然后查所有进程句柄表吗....
不太理解 火绒这种没内核对抗的杀软按理来说不应该...

菜叶片

00006666 发表于 2025-4-6 13:42
提醒你一下，360没有内存扫描，非注入手段对付360有奇效，在联网核晶状态下就别想着注入了，不过你就算运 ...

emmm没打算过核晶 内核模式hook怎么过 用户层按 呃 不投机取巧的方法 应该过不了吧....
大佬觉得这个项目怎么样
话说Github确实没看见和我完全思路相同的（指堆栈欺骗方案）
唯一一个 比较相似的 的叫LayeredSyscall 但是我感觉我反检测能力比他的好