飞星注入器v.2.0.5 开源 | 已绕过卡巴斯基EDR

Fadouse

PhozeAMTB

WD 2.0.5 b6 双击报毒。

呼啸山庄

菜叶片 发表于 2025-4-6 15:22
okok Win11貌似窃取令牌会失败
我做了个explorer注入器
但是因为explorer太活跃了 疯狂触发Shellcode打 ...

复测貌似成功了，但是计算器没得打开。高限制explorer直接重启了。

RainCloud9

这下动静有点大了（）
建议换shellcodeXD，加密毕竟不太长久（（

菜叶片

RainCloud9 发表于 2025-4-6 18:34
这下动静有点大了（）
建议换shellcodeXD，加密毕竟不太长久（（

Chacha20作为矩阵加密 逻辑简单 比AES和RSA特征更少 经实测 原始内存操作实现Chacha20解密并不会造成杀毒软件报毒 反而逻辑更简单的异或加密 和base64编码 都会引发VT静态查杀 多引擎（10+）报毒
目前用的是Metasploit的Shellcode chacha20加密后非常安全 XD
再加上是将shellcode插入主映像的C标准库启动函数 而不是常规单独申请一段private内存区域 加大了内存扫描的难度（因为不知道Shellcode起始结束呀 XD
另外 我下周末要写一段Loader 周一到周五要好好上学
经研究 Win11对系统权限的svchost添加了PPL 然后Winlogon这些进程的主令牌能拿到 但是木有SeImpersonteToken权限
后面会研究explorer注入 因为exploerer很活跃 会不断触发内联Hook 因此我打算写一段Shellcode Loader
Shellcode被执行后 进行代码自修改 将Shellcode第一个汇编码改为ret 这样shellcode就不会被多次调用
另外 注入器还要负责在explorer内存中找一个RW内存区域当shellcode的堆 反正 就是储存数据 因为我感觉基于栈（pop push）传递参数 存储数据 呃 对人类来说很抽象 写复杂了后面会成屎山我估计
XD

lixihong10

这算半成么

wuming_bpnes

BD Home 被过

jerry_2610

BDTS kill x2:

StarFly2.0.5b5-Explorer infected with Gen:Suspicious.Cloud.2.byW@aepbLdai was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

StarFly2.0.5b6.exe is infected with Trojan.GenericKD.76191045 and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

菜叶片

飞星2.0.6 Preview（更新预告）
---

GalaxyGate v2.1
因为VT的云沙箱认为注册VEH有劫持其他线程执行流嫌疑 将改为使用SEH
不再在异常处理中用if语句匹配单步异常 而是将非访问越界异常 均当作单步异常处理 以防止杀软怀疑劫持执行流

---
飞星2.0.6 注入器
将改为注入Explorer 不再强制需要管理员权限 因此 可能可以避免触发WD等杀软的不信任拦截
新增Shellcode Loader 避免Shellcode被多次执行
以前版本对 某些代码 编译后的机器码长度 进行了硬编码
将移除这些硬编码 以兼容O1最佳大小优化（因为反编译后发现O2优化造成了大量重复函数调用语句 可能引发杀软怀疑）
挂起Dhcp服务 通过断网对抗核晶 （也算 过了吧 投机取巧XD）

菜叶片

lixihong10 发表于 2025-4-7 11:40
这算半成么

emmm不算半成功 句柄提权失败了
看来ESET专门对抗了这个句柄提权漏洞的利用
话说这个漏洞18年就有了 每一步都能触发对象创建回调 但是每一步都会让杀软看上去操作很合法 微软内核不修算了 各大杀毒软件仍然没有对该漏洞作出有效响应
简单来说就是
左手换右手 然后句柄就提权了
先拿一个目标进程的最低权限（查询有限信息了）句柄
然后从自身进程复制这个句柄 索要目标进程的 具有复制句柄权限的句柄
按理来说复制后的句柄不会超过原句柄权限
但是内核认为自身操作自身是完全访问
第二步 拿上一步得到的句柄 从目标进程中复制自身进程句柄
不知道什么原理 从内核返回的是目标进程的完全访问句柄
至于为什么第一步就索取完全访问句柄 实测会失败 为什么 我也不知道XD 网上也没解释反正 非常神奇的漏洞