飞星注入器v.2.0.5 开源 | 已绕过卡巴斯基EDR

lsop1349987

菜叶片 发表于 2025-4-6 15:22
okok Win11貌似窃取令牌会失败
我做了个explorer注入器
但是因为explorer太活跃了 疯狂触发Shellcode打 ...

explorer版
win10 avast双击 kill
win11 emsi企业+edr双击 miss
        McAfee+hmpa 双击miss
        非最新eis：miss

DisaPDB

菜叶片 发表于 2025-4-6 14:14
他怎么找的 直接扫Winlogon内存 验证映像完整性 然后查所有进程句柄表吗....
不太理解 火绒这种没内核对 ...

ObRegisterCallBack可以直接不让你拿句柄

菜叶片

DisaPDB 发表于 2025-4-6 15:39
ObRegisterCallBack可以直接不让你拿句柄

但是根据我程序回显 句柄拿到了
第一 如果返回句柄是0x0 程序会报错退出
第二 获取的句柄有效 因为成功读取内存 解析了PEB

菜叶片

lsop1349987 发表于 2025-4-6 15:36
b5还是崩
explorer win10 双击 kill

修好了 现在是b6

DisaPDB

菜叶片 发表于 2025-4-6 15:46
但是根据我程序回显 句柄拿到了
第一 如果返回句柄是0x0 程序会报错退出
第二 获取的句柄有效 因为成功 ...

常规的openprocess可以打开进程但是没办法结束
因为权限被去掉了

菜叶片

DisaPDB 发表于 2025-4-6 16:01
常规的openprocess可以打开进程但是没办法结束
因为权限被去掉了

明白了 回调 然后他给我句柄降权了是吧 把VM_WRITE权限去掉了
但是火绒不是没有内核对抗吗

DisaPDB

菜叶片 发表于 2025-4-6 16:06
明白了 回调 然后他给我句柄降权了是吧 把VM_WRITE权限去掉了
但是火绒不是没有内核对抗吗

这是微软提供的内核回调接口，自己去看MSDN。
https://learn.microsoft.com/en-u ... obregistercallbacks

1. typedef struct _OB_CALLBACK_REGISTRATION {
   
2. USHORT                    Version;
   
3. USHORT                    OperationRegistrationCount;
   
4. UNICODE_STRING            Altitude;
   
5. PVOID                     RegistrationContext;
   
6. OB_OPERATION_REGISTRATION *OperationRegistration;
   
7. } OB_CALLBACK_REGISTRATION, *POB_CALLBACK_REGISTRATION;
   
8. ​
   
9. //Version: 使用ObGetFilterVersion()取得
   
10. //OperationRegistrationCount:OB_OPERATION_REGISTRATION 该结构体的数组的长度
    
11. //Altitude:可理解为驱动的加载顺序
    
12. //RegistrationContext:传递给回调的参数
    
13. //OperationRegistration:OB_OPERATION_REGISTRATION 该结构体的数组

复制代码

LeeHS

菜叶片 发表于 2025-4-6 12:10
Cortex XDR吗 确实 这个挺强 MITRE评估第一本来我也想用这个来着XD 申请试用白嫖没通过

经过检验 即使 ...

依旧失败

LSPD

eis miss 1x

菜叶片

LeeHS 发表于 2025-4-6 16:18
依旧失败

win11会获取SYSTEM令牌失败 用2.0.5b5-explorer 改成注入explorer
然后 如果还不行 那就是Cortex太强了 XD