飞星v2.0.6 Release | 开源

菜叶片

由于还有两个月高考 距离目标大学暨大网安专业还差二十分 决定暂停更新
但是对于后续更新其实也比较明确 只是耗时会比较长XD
问题一：
从卡巴斯基KES和卡饭论坛坛友的反馈来看 当前Shellcode极易被内存扫描识别
特征：注入器可以获取到完全访问句柄 可以写入内存 但是计算器不弹出 随后注入器存活或被杀（可能是因为句柄表中存在目标进程完全访问句柄
实际上Winlogon版本 卡巴斯基并没有出现这种情况（但是Avast依旧能扫描出来） 是因为用Shellcode替换掉了C标准库启动函数 而explorer.exe映像...没有pre_c_init这些函数 所以就注入到了映像末尾被00填充的区域 导致被检测
解决方案：反汇编explorer 找到替换后不会影响程序运行的可执行内存区域
问题二：
GalaxyGate栈欺骗 调用栈单一（GetFileAttributes->...->Nt*函数) 因为没有时间对所有Nt*函数的函数调用树研究 导致2.0.3到2.0.6留下了非常明显的特征（一直调用GetFileAttributes）
解决方案：为每个Nt*函数定制完美的调用栈
问题三：
Shellcode会被反复执行多次
解决方案：用donut写一段Shellcode Loader 第一次执行Shellcode时将Shellcode第一位机器码替换成ret 实现多次执行Shellcode时立即返回 不执行后续代码
至于冰盾 ESET还有火绒的关键进程保护 确实没什么办法
目前通过漏洞可以让句柄获取 看上去“合法”
但是 emmm 这三个好像 获取到高权限句柄就阻止
或许再换一个注入目标（歪门邪道XD
---
从云沙箱反馈来看 GalaxyGate的方案 貌似还是不错的 大部分EDR都没有从内核事件中找到破绽XD

biue

腾讯电脑管家 不报

飞翔的蒲公英

怎么下载不了了

Fadouse

Automated Malware Analysis Report for StarFly2.0.6.exe - Generated by Joe Sandbox
JOESANDBOX成功检出行为
Changes memory attributes in foreign processes to executable or writable


Injects code into the Windows Explorer (explorer.exe)


Writes to foreign memory regions

无声无息

ANY.LNK 发表于 2025-4-13 18:19
Microsoft：
2台Win11机器都被机器学习杀了

win11的WD和win10的不一样？

ANY.LNK

无声无息 发表于 2025-4-15 00:12
win11的WD和win10的不一样？

机器学习的问题，也有可能

00006666

360卫士 beta版  未开启核晶

可以拦截注入行为

1. 时间        操作        说明        次数
   
2. 2025-04-17 09:30:45        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\admin\Desktop\StarFly2.0.6.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\explorer.exe
   
7. 风险文件：C:\Users\admin\Desktop\StarFly2.0.6.exe
   
8. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
9. 
   
10. 防护信息: AD|2, 88|40, 40, -1||

复制代码